HOME

Stern Logo Überwachung

Unlöschbare NSA-Superviren entdeckt

Virenexperten haben eine Reihe von extrem komplexen Angriffs-Programmen entdeckt, die seit Jahren weltweit Ziele attackieren - und nicht löschbar sind. Die Spuren führen zur NSA.

Von Malte Mansholt

Die von der "Equation Group" getauften Hacker-Truppe verwendete Software sammelt Daten wie Passwörter und lauscht per Mikrofon.

Die von der "Equation Group" getauften Hacker-Truppe verwendete Software sammelt Daten wie Passwörter und lauscht per Mikrofon.

Als 2010 bekannt wurde, dass das Schadprogramm Stuxnet erfolgreich iranische Atomanlagen beschädigt hatte, ahnte man noch nicht, dass diese hochpräzise Cyberwaffe bereits nach wenigen Jahren harmlos wirken würde. Die Experten des russischen Software-Entwicklers Kaspersky haben nun eine Gruppe von Hackern entdeckt, die mehrere Werkzeuge im Arsenal haben, die Stuxnet alt aussehen lassen.

Die wegen ihrer Vorliebe für die Verwendung komplexer mathematischer Formeln "Equation Group" (Gleichungs-Gruppe) genannten Hacker sind Kaspersky zufolge mindestens seit 2001 aktiv. Die Experten entdeckten die Angriffe, weil sich Opfer an sie wendeten und um Unterstützung baten. So konnten sie allein im Jahr 2014 über 500 Angriffe nachweisen. Nach Angaben der "Süddeutschen Zeitung" richteten sich die meisten der Angriffe gegen staatliche Einrichtungen wie Atomkraftwerke, Botschaften, Militär und Krankenhäuser. Da sich ihre Software aber selbst vernichtet, dürften viele die Attacken nie bemerken - die Experten vermuten daher zehntausende Fälle. Dabei nutze sich die Gruppe Angriffsprogramme, die in ihrer Komplexität ihresgleichen suchen. Die Entwicklung derart fortgeschrittener Programme ist extrem kompliziert und teuer. Es ist praktisch ausgeschlossen, dass einfache Kriminelle zu Ähnlichem in der Lage sind.

NSA unter Verdacht

Kaspersky selbst nennt keine Verdächtigen, trotzdem deutet alles auf eine Beteiligung des amerikanischen Geheimdienstes NSA hin. So hatte die Equation Group Zugriff auf Teile von Stuxnet, bevor das Programm überhaupt außerhalb eines Softwarelabors auftauchte. Zwar gibt es immer noch keine eindeutigen Beweise für die Herkunft des Schadprogramms, Experten sind sich allerdings weitgehend einig, dass Stuxnet in einer Kooperation von Geheimdiensten der USA und Israel entwickelt wurde. Auch die Angriffsziele deuten Richtung der USA. Die meisten Attacken fanden Kaspersky zufolge im Iran, Russland, Pakistan und Afghanistan statt. Auch China, Syrien und andere arabische Staaten verzeichneten eine erhöhte Angriffsrate. Auch in Deutschland gibt es wohl Opfer, Kaspersky nennt aber keine Namen der Ziele. Schließlich sollen sich eventuell Betroffene auch weiterhin bei Verdacht bei den Experten melden.

Dass die Equation Group die Stuxnet-Programmteile bereits vorher einsetzte, deutet der Chef von Kasperskys Forschungsabteilung Costin Raiu gegenüber der Technik-Seite "Ars Technica" als Anzeichen dafür, dass sie in der Rangordnung noch über den Stuxnet-Programmierern stehen. Das bisher komplexeste Angriffsprogramm wäre demnach gerade einmal ein Abfallprodukt der wirklich gefährlichen Werkzeuge.

Völlig neue Angriffsmethoden

Von denen stehen der Gruppe gleich eine ganze Reihe zur Verfügung. Eines von ihnen setzt sich etwa in der Firmware von Festplatten und USB-Sticks fest. Dieses Betriebssystem der Hardware können im Normalfall nur die Hersteller verändern, Virenschutz-Programme sind nicht in der Lage, es auf Verseuchungen zu untersuchen. Baut man eine solche Festplatte in den Computer ein, kann der Rechner die Bedrohung also weder bemerken, noch sich wehren - nicht mal das Löschen der Festplatte hilft noch. Sie muss stattdessen ganz ausgebaut werden. Und ist trotzdem weiter verseucht.

Auch Rechner, die nicht ans Internet angeschlossen sind, können die Hacker überwachen. Dazu entwickelten sie ein Tool namens "Fanny", das erkennt, ob der Rechner einen Internetzugang besitzt. Wenn es keinen findet, durchsucht es den befallenen PC nach verwertbaren Daten, schreibt Tastatureingaben mit und lauscht sogar per Mikrofon. Sobald der Stick wieder an einem Rechner mit Internetanschluss eingesteckt wird, lädt Fanny alle gesammelten Informationen auf die Server der Hacker.

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.