Dipl.-Inform. Carsten Eilers

Der Sourcecode des Onlinebanking-Trojaners Carberp wurde im Internet veröffentlicht. Noch eine Woche zuvor war er für 50.000 $ oder 25.000 $ oder 5.000 $ oder sogar nur 2.000 $ zum Kauf angeboten worden. Welcher Preis der richtige war, kann ich nicht beurteilen, jetzt gibt es den Sourcecode auf jeden Fall kostenlos. Ob es bei den Cyberkriminellen auch ein Rückgaberecht gibt? Die Käufer, wenn es denn welche gibt, dürften jetzt ziemlich sauer sein.

Auf KernelMode.info hat man sich den Sourcecode genauer angesehen. 5 GB Code, sehr viel Copy&Paste, ein "durchwachsener" Stil. Da die Entwickler aus Russland stammen, sind auch die Kommentare (weitgehend?) auf russisch, ich verstehe von den zitierten Beispielen kein Wort. Sie scheinen aber interessant zu sein. In diesem Zusammenhang scheint der erste Post im Thread der aufschlussreichste zu sein:

"[...] angry customers have posted the source code in the archive with a password. [...]"

Was ist los? Hatten die Käufer Probleme mit dem Kompilieren, oder mit dem Verständnis des Codes? Oder waren sie mit der Codequalität unzufrieden?

Vielleicht hat ihnen aber auch einfach nicht gefallen, dass sie außer dem benötigten Code auch noch jede Menge digitalen Müll erhalten haben. Das Archiv enthält nämlich außer Carberp auch noch zum Beispiel ältere Schadsoftware als Sourcecode (haben die etwa den Code, von dem sie abgekupfert haben, im Archiv gelassen?), Chat-Protokolle sowie Listen mit Zugangsdaten (das erinnert mich irgendwie an die "privaten" Schlüssel auf GitHub). Da scheinen die Entwickler beim Vorbereiten des Archivs ja ziemlich schlampig vorgegangen zu sein. Oder dieses Archive war gar nicht zu Weitergabe außerhalb der eigenen Entwickler-Gruppe vorgesehen.

Das der Sourcecode von Schadsoftware veröffentlicht wird ist nichts Neues. Das prominenteste Beispiel dürfte der Schädlingsbaukasten Zeus sein, dessen Sourcecode 2011 veröffentlicht wurde. Inzwischen gibt es einen Zeus-Ableger, der deutlich gefährlicher als sein Vorgänger ist: Citadel. Zeus und auch Citadel scheinen im Carberp-Archiv enthalten zu sein. Ob das ein neuer Trend wird? Irgendwann taucht dann ein Carberp-Nachfolger auf, und wenn dann irgendwann dessen Sourcecode veröffentlicht wird, enthält das Archiv Zeus, Citadel und Carberp? Die Größe dürfte dann irgendwo bei 8-10 GB liegen? Und geht das dann immer so weiter? Naja, falls irgendwann der Platz knapp wird, hilft die NSA sicher gerne aus. Die haben ja bekanntlich sowohl reichlich Speicherplatz als auch einen unersättlichen Hunger nach Daten.

Opera - Datenleck und Malware-Schleuder

Opera wurde Opfer eines Angriffs, bei dem ein Code-Signing-Zertifikat ausgespäht und Schadsoftware verbreitet wurde.

Das Zertifikat war zwar alt und längst abgelaufen, trotzdem nutzten die Angreifer es zum Signieren von Schadsoftware (mit einer etwas bescheidenen Erkennungsrate von 31/46 Virenscannern auf Virustotal), die dann über Operas automatischen Update-Mechanismus verteilt wurde

Windows-Benutzer, die Opera am 19. Juni zwischen 01:00 und 01:36 UTC genutzt haben, können diese Schadsoftware automatisch erhalten und installiert haben. Mal abgesehen vom recht kurzen Zeitraum von nur 36 Minuten ist das ziemlich gefährlich. Wissen Sie noch, ob Sie dann mit Opera online waren? Ich ja - weil ich Opera nicht nutze. Aber ansonsten? Keine Ahnung, was ich da gemacht habe. Dafür ist es einfach schon zu lange her. Was das ganze noch schlimmer macht: Opera hat zu lange gebraucht, um die Benutzer zu warnen: Ein Angriff am 19. Juni, der am 26. Juni gemeldet wird - die möglichen Opfer werden sich bedanken.

Als Abhilfe sollen die Benutzer die neueste Opera-Version installieren, für die ein neues Code-Signing-Zertifikat verwendet wurde. DAS könnten natürlich auch die Angreifer erklären, richtig?

Mehr Informationen, vor allem natürlich über den Schädling, gibt es bei Symantec (der Schädling wird normalerweise von "financial Trojans" verwendet und ist ein Datensammler), Sophos (Operas Auto-Update-Funktion hat versagt) und Trend Micro (auch auf deutsch, Details zu den vom Schädling gesammelten Daten) und Avira (es wird auch Ransomware nachgeladen).

Mal abgesehen davon, dass ich generell nichts von automatischen Updates halte, scheint sich hier ein neuer Trend anzubahnen: Gezielte Angriffe auf Update-Mechanismen. Ein weiterer Grund, automatische Updates aus zu schalten. Die Programme sollen sich bei einem neuen Update ruhig melden, aber ob und was installiert wird entscheide immer noch ich.

Die interessante Frage ist in diesem Fall eigentlich: Wem galt der Angriff? Opera? Die waren nur das Mittel zum Zweck. Niemand macht sich die Mühe eines gezielten Angriffs auf einen Softwarehersteller, nur um dann für einen womöglich nur sehr kurzen Zeitraum Schadsoftware zu verbreiten. Da steckt mehr dahinter. Oder es war nur ein Versuch, um die Reaktion der Öffentlichkeit zu testen. Keine Panikreaktionen? Keine Warnungen? Kein hektisches Suchen nach dem Angriffsziel? Prima, dann kann man ja jetzt mal sein Glück bei einem großen Hersteller versuchen. Ein Browser-Entwickler wäre nahe liegend, aber Microsoft, Apple, Google und Mozilla dürften jetzt gewarnt sein. Aber wie wäre es mit einem "Browser-Zulieferer", auch über Plugins lässt sich sicher Schadsoftware verbreiten? Adobe hatte ja schon mal Probleme mit einem gestohlenen Zertifikat.

Und dann möchte ich noch auf einen weiteren Punkt hinweisen: Operas Auto-Update-Funktion hat das gefälschte Update installiert, obwohl es mit einer ungültigen Signatur versehen war. Das Code-Signing hat also wieder mal versagt. Wozu brauchen wir signierten Code, wenn die Signatur sowieso ignoriert wird? Wieso/Weshalb/Warum die Signaturprüfung versagt hat, ist dabei völlig egal.

Carsten Eilers