Die Spyware kann sich gefinkelt vor Antivirenprogrammen verstecken
Im April 2014 wird Syrien bereits seit über drei Jahren von einem blutigen Bürgerkrieg heimgesucht: Die Fraktionen sind unübersichtlich, der Aufstieg der Terrormiliz "Islamischer Staat" dominiert die Schlagzeilen. Geheimdienste sind auf dem Schlachtfeld hochaktiv, um für ihre Regierungen Informationen bereitstellen zu können. Immer wichtiger ist dabei die Wissensbeschaffung über Cyberspionage. So setzt etwa die Regierung unter Diktator Bashar al-Assad Spyware gegen Rebellen ein, um Strategiepapiere zu stehlen.
Zero-Day-Lücken in Flash
Sicherheitsforscher der Firma ESET haben nun enthüllt, dass wohl auch der französische Geheimdienst stark in Syrien mitmischt. Sie fanden eine Malware namens "Casper", die ab April 2014 zum Einsatz kam. Laut ihrem Bericht, der dem STANDARD vorab vorliegt, nutzten die Angreifer Zero-Day-Lücken in Flash aus. Dabei handelt es sich um Schwachstellen, die vorher noch nicht öffentlich bekannt sind. In Fachkreisen werden diese als sehr wertvoll angesehen, da sie, wenn sie einmal ausgenutzt werden, von Entwicklern entdeckt und behoben werden können. Das Wissen um Zero-Day-Lücken ist ein millionenschwerer Markt, der etwa von IT-Firmen wie der französischen Vupen bedient wird.
Geheimdienste als Macher
Die Nutzung solcher Lücken deutet darauf hin, dass die Malware von hochrangigen Entwicklern mit deutlichen finanziellen Ressourcen erschaffen wurde – also vermutlich von einem staatlichen Geheimdienst. Gehostet wurde die Malware auf der Website des syrischen Justizministeriums; konkret in einem Formular, mit dem Opfer des Bürgerkriegs finanzielle Hilfe beantragen konnten. Die Logik ist klar: Wer sich hier meldet, lebt in einem Gebiet, in dem gerade gekämpft wird. Wird der Rechner eines Kriegsflüchtlings infiziert, können hautnah Informationen aus dem Kriegsgebiet abgefangen werden - etwa durch Nachrichten von Verwandten.
Aufklärung und Spionage
Sobald ein System mit "Casper" infiziert ist, sendet die Malware "Aufklärungsinformationen" über den Rechner an die Zentrale zurück. "Casper" unternimmt dabei große Anstrengungen, um von gängigen Anti-Viren-Programmen nicht aufgespürt zu werden. Laut dem Sicherheitsforscher Joan Calvet von ESET, der "Casper" unter die Lupe genommen hat, sollen nach der Übermittlung erster Informationen über den Zielrechner via Plugins eine Reihe von Überwachungsoptionen zur Verfügung stehen – die im untersuchten Schadcode allerdings fehlen. Vermutlich verfügt "Casper" über ähnliche Fähigkeiten wie die Schadsoftware "Babar", zu der vor einigen Tagen ein ausführlicher Bericht erschienen ist.
Nicht nur NSA und GCHQ
Denn "Babar" und "Casper" sollen eng verwandt sein: Mit "hoher Wahrscheinlichkeit" steckt der französische Geheimdienst hinter den beiden Schadprogrammen. In beiden Programmen wurden idente Codefragmente gefunden. Der kanadische Geheimdienst hatte "Babar", das auch einfach eine frühere Version von "Casper" sein könnte, eindeutig dem französischen Geheimdienst zugeschrieben. Das Hosten auf einer syrischen Regierungswebsite könnte dazu dienen, die Herkunft zu verschleiern oder einen sicheren Hafen zu bieten, verliert das syrische Netz doch oft die Verbindung mit der Außenwelt. Die Erkenntnisse zeigen jedenfalls, dass westliche Geheimdienste auch abseits von NSA und GCHQ im Nahen Osten fleißig spionieren. (Fabian Schmid, derStandard.at, 5.3.2015)