Dipl.-Inform. Carsten Eilers

Der Onlinebanking-Trojaner Gauss (der diesmal sofort bei seiner Bekanntgabe in einem Whitepaper beschrieben wird, wenn das auch trotz seines Umfangs noch einige Lücken aufweist) wurde von Kaspersky gefunden, als man im Auftrag der ITU (die bekanntlich mit der Sicherheit im Internet nicht zu tun hat und besser auch in Zukunft nicht haben sollte) nach weiteren Spuren von Flame suchte. Ziel der Operation: Den Cyber-Peace sicher zu stellen. Oha.

Das besondere an Gauss: Der Trojaner späht im Nahen Osten Onlinebanking-Zugangsdaten aus und enthält bisher nicht entschlüsselten Schadcode, der nur bei ganz bestimmten Systemkonfigurationen aktiv wird. Außerdem wird der Font "Palida Narrow" installiert. Wieso, ist nicht bekannt.

Ansonsten gleicht Gauss Flame: Verbreitung über die schon von Stuxnet genutzte Shortcut-Lücke, über Plugins erweiterbar, Infektionsweg bisher unbekannt, das hatten wir alles schon bei Flame.

Ein Staat mit einem Onlinebanking-Trojaner?

Stuxnet, Duqu und Flame waren gegen das iranische Atomprogramm gerichtet, und Gauss ist ein "Verwandter" von Flame. Aber warum sollten die USA und Israel einen Onlinebanking-Trojaner auf die Reise schicken? Griechenland geht doch das Geld aus, nicht den USA oder Israel. Zumindest ist mir nichts derartiges zu Ohren gekommen. OK, Geld kann man immer gebrauchen, aber die USA und Israel sollten da andere Möglichkeiten als Onlinebanking-Raubzüge haben. Könnte es sein, dass die Flame-Entwickler so mies bezahlt wurden, dass sie den vorhandenen Code für eigene Zwecke nutzten? Oder einen ihrer Schädlinge quasi im Nebenjob als Onlinebanking-Trojaner einsetzten (immerhin gibt es ja noch den mysteriösen weiteren Schadcode)?

Das ist sicher denkbar, aber ziemlich abwegig. Außerdem gibt es vermutlich eine harmlosere Erklärung für das Onlinebanking-Spionage-Modul von Gauss, auf die F-Secure hinweist: Die USA gehen laut einem Bericht im Wall Street Journal dem Verdacht nach, das Banken im Libanon, auf die es Gauss insbesondere abgesehen hat, von Syrien, dem Iran und der Hisbollah genutzt werden, um Sanktionen zu umgehen. Da wäre es doch nahe liegend, auf die möglichen Täter einen Onlinebanking-Trojaner anzusetzen und mit den ausgespähten Zugangsdaten mal nach zu sehen, was es denn da für Geldflüsse gibt, oder?

Schadcode für ganz bestimmte Systeme

Einen Schadcode für ganz bestimmte Systeme hatten wir schon mal: Stuxnet. Damals ging es den Uranzentrifugen des Iran an den Kragen bzw. die Steuerung der Motoren. Was wohl diesmal zerstört oder ausgespäht werden soll? Die Kombination aus "Verbreitung über USB-Stick" und "Aktiv werden bei bestimmter Systemkonfiguration" klingt für mich so, als sollte ein System infiziert werden, dass nicht übers Internet oder ein Netzwerk allgemein erreichbar ist. Vor allem, da der USB-Stick auch zum Speichern von Daten verwendet wird. Ich schätze mal, der Iran hat zur Zeit einen großen Bedarf an PS2-Tastaturen und -Mäusen und allem, womit sich ein USB-Port mechanisch dauerhaft lahm legen lässt.

Der mysteriöse Font

Wieso installiert Gauss einen Font? Da gibt es mehrere mögliche Erklärungen. Zum Beispiel könnte beim Darstellen bestimmter Zeichenfolgen Code ausgeführt werden, auch wenn Kaspersky den Font untersucht und nichts Verdächtiges gefunden hat. Oder eine Website kann prüfen, ob der Font und damit Gauss installiert ist und dann irgend etwas tun oder unterlassen, z.B. weiteren Schadcode installieren bzw. nicht installieren. Kaspersky nutzt den Font in diese Seite, um Gauss-Infektionen zu erkennen.

Ich hätte noch einen Vorschlag: Wie wäre es mit einem Word-Dokument o.Ä. mit einem Exploit, der nur aktiv wird, wenn dieser bestimmte Font vorhanden ist oder nicht vorhanden ist? So könnte Gauss um neue Funktionen erweitert oder ausgetauscht werden (wenn der Font vorhanden ist) oder aber auf Rechnern installiert werden, auf denen er noch nicht installiert ist (wenn der Font nicht vorhanden ist).

Fortsetzung folgt?

Zu Gauss sind auf jeden Fall noch einige Frage offen. Hoffen wir mal, das die irgendwann beantwortet werden und das ganze nicht wieder im Sande verläuft. Wie Flame ursprünglich auf die Rechner kam, ist ja auch noch nicht bekannt. Und dann ist da noch Mahdi, der wohl wirklich als digitaler Bettvorleger endet.

Carsten Eilers