HOME

Stern Logo Überwachung

Unlöschbare NSA-Superviren entdeckt

Virenexperten haben eine Reihe von extrem komplexen Angriffs-Programmen entdeckt, die seit Jahren weltweit Ziele attackieren - und nicht löschbar sind. Die Spuren führen zur NSA.

Von Malte Mansholt

Die von der "Equation Group" getauften Hacker-Truppe verwendete Software sammelt Daten wie Passwörter und lauscht per Mikrofon.

Die von der "Equation Group" getauften Hacker-Truppe verwendete Software sammelt Daten wie Passwörter und lauscht per Mikrofon.

Als 2010 bekannt wurde, dass das Schadprogramm Stuxnet erfolgreich iranische Atomanlagen beschädigt hatte, ahnte man noch nicht, dass diese hochpräzise Cyberwaffe bereits nach wenigen Jahren harmlos wirken würde. Die Experten des russischen Software-Entwicklers Kaspersky haben nun eine Gruppe von Hackern entdeckt, die mehrere Werkzeuge im Arsenal haben, die Stuxnet alt aussehen lassen.

Die wegen ihrer Vorliebe für die Verwendung komplexer mathematischer Formeln "Equation Group" (Gleichungs-Gruppe) genannten Hacker sind Kaspersky zufolge mindestens seit 2001 aktiv. Die Experten entdeckten die Angriffe, weil sich Opfer an sie wendeten und um Unterstützung baten. So konnten sie allein im Jahr 2014 über 500 Angriffe nachweisen. Nach Angaben der "Süddeutschen Zeitung" richteten sich die meisten der Angriffe gegen staatliche Einrichtungen wie Atomkraftwerke, Botschaften, Militär und Krankenhäuser. Da sich ihre Software aber selbst vernichtet, dürften viele die Attacken nie bemerken - die Experten vermuten daher zehntausende Fälle. Dabei nutze sich die Gruppe Angriffsprogramme, die in ihrer Komplexität ihresgleichen suchen. Die Entwicklung derart fortgeschrittener Programme ist extrem kompliziert und teuer. Es ist praktisch ausgeschlossen, dass einfache Kriminelle zu Ähnlichem in der Lage sind.

NSA unter Verdacht

Kaspersky selbst nennt keine Verdächtigen, trotzdem deutet alles auf eine Beteiligung des amerikanischen Geheimdienstes NSA hin. So hatte die Equation Group Zugriff auf Teile von Stuxnet, bevor das Programm überhaupt außerhalb eines Softwarelabors auftauchte. Zwar gibt es immer noch keine eindeutigen Beweise für die Herkunft des Schadprogramms, Experten sind sich allerdings weitgehend einig, dass Stuxnet in einer Kooperation von Geheimdiensten der USA und Israel entwickelt wurde. Auch die Angriffsziele deuten Richtung der USA. Die meisten Attacken fanden Kaspersky zufolge im Iran, Russland, Pakistan und Afghanistan statt. Auch China, Syrien und andere arabische Staaten verzeichneten eine erhöhte Angriffsrate. Auch in Deutschland gibt es wohl Opfer, Kaspersky nennt aber keine Namen der Ziele. Schließlich sollen sich eventuell Betroffene auch weiterhin bei Verdacht bei den Experten melden.

Dass die Equation Group die Stuxnet-Programmteile bereits vorher einsetzte, deutet der Chef von Kasperskys Forschungsabteilung Costin Raiu gegenüber der Technik-Seite "Ars Technica" als Anzeichen dafür, dass sie in der Rangordnung noch über den Stuxnet-Programmierern stehen. Das bisher komplexeste Angriffsprogramm wäre demnach gerade einmal ein Abfallprodukt der wirklich gefährlichen Werkzeuge.

Völlig neue Angriffsmethoden

Von denen stehen der Gruppe gleich eine ganze Reihe zur Verfügung. Eines von ihnen setzt sich etwa in der Firmware von Festplatten und USB-Sticks fest. Dieses Betriebssystem der Hardware können im Normalfall nur die Hersteller verändern, Virenschutz-Programme sind nicht in der Lage, es auf Verseuchungen zu untersuchen. Baut man eine solche Festplatte in den Computer ein, kann der Rechner die Bedrohung also weder bemerken, noch sich wehren - nicht mal das Löschen der Festplatte hilft noch. Sie muss stattdessen ganz ausgebaut werden. Und ist trotzdem weiter verseucht.

Auch Rechner, die nicht ans Internet angeschlossen sind, können die Hacker überwachen. Dazu entwickelten sie ein Tool namens "Fanny", das erkennt, ob der Rechner einen Internetzugang besitzt. Wenn es keinen findet, durchsucht es den befallenen PC nach verwertbaren Daten, schreibt Tastatureingaben mit und lauscht sogar per Mikrofon. Sobald der Stick wieder an einem Rechner mit Internetanschluss eingesteckt wird, lädt Fanny alle gesammelten Informationen auf die Server der Hacker.

Themen in diesem Artikel