Alte Schule

Spionage-Trojaner MiniDuke zielt auf Regierungsstellen

Zwei Sicherheitsunternehmen haben einen Schädling namens "MiniDuke" entdeckt, der zur Spionage entwickelt wurde. Er wurde über eine neue Schwachstelle im Adobe Reader zielgerichtet verteilt.

News
MiniDuke: Ein Trojaner hat es auf offizielle Regierungsstellen abgesehen.
MiniDuke: Ein Trojaner hat es auf offizielle Regierungsstellen abgesehen.
© miniduke-tweets.png (Kaspersky Lab, Frank Ziemann)

Als Adobe in der vergangenen Woche Sicherheits-Updates für seine PDF-Programme Reader und Acrobat veröffentlichte, hieß es, die damit geschlossenen Sicherheitslücken würden bereits für gezielte Angriff ausgenutzt. Die Sicherheitsunternehmen CrySys Lab und Kaspersky Lab haben nun aufgedeckt, was damit gemeint war.

Wie beide Unternehmen in ihren veröffentlichten Berichten melden, haben Unbekannte in der letzten Woche Regierungsorganisationen in mehreren europäischen Ländern sowie in den USA angegriffen, um eine Spionage-Software namens "MiniDuke" zu platzieren. Wie so oft, haben die Angriffe mit dem Versand sorgfältig präparierter E-Mails begonnen.

Es wurden PDF-Dateien verschickt, die vorgeblich Informationen zu politisch brisanten Themen enthielten. Die PDF-Dokumente enthielten jedoch Exploit-Code für eine Schwachstelle im Adobe Reader. Darüber wurde ein nur 20 Kilobyte großes Download-Tool eingeschleust und gestartet. Das Tool enthält eine Hintertür, die in der maschinennahen Programmiersprache Assembler geschrieben und spezifisch für jedes Zielsystem ist.

Der Schädling sucht in eigens eingerichteten Twitter-Konten nach besonderen Tweets. Diese bringen Tags mit, die verschlüsselte URLs enthalten. Über diese Web-Adressen steuern die C&C-Server (Kommando-Server) den Schädling. Sie übermitteln Befehle und GIF-Bilddateien, die zusätzlichen Hintertür-Code enthalten. Als Plan B kann MiniDuke statt Twitter auch die Google-Suche nutzen, um die speziellen URLs zu finden.

Jewgenij "Eugene" Kaspersky, Gründer und Chef des Antivirusherstellers, zeigt sich erstaunt über den Assembler-Code in MiniDuke. Er kenne den verwendeten Programmierstil noch aus den 1990er Jahren. Er wundere sich, dass Malware-Programmierer alter Schule nach mehr als zehn Jahren wieder aktiv würden und sich einer aktuellen Spionagegruppe angeschlossen hätten.

Zu den angegriffenen Zielen gehören Regierungsstellen in Belgien, Irland, Portugal, Rumänien, Tschechien und in der Ukraine. Hinzu kommen zwei Forschungseinrichtungen in Ungarn und in den USA sowie weitere US-Organisationen. Ausführliche Analysen finden auf den Websites der Unternehmen Kaspersky Lab und CrySys Lab.

1.3.2013 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Jeep Cherokee Hack

Sicherheitslücke in Uconnect

Hacker kapern Auto - Jeep über Internet ferngesteuert

Zwei Hackern ist es gelungen, über das Internet die Kontrolle über einen Jeep Cherokee zu übernehmen - während der Fahrt auf einem Highway.

Symbolbild: Sicherheit

Kundenpasswörter im Klartext

Bitdefender gehackt und erpresst - Nutzerdaten gestohlen

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im Klartext.

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.