Thema: Das Web als Waffe ...

[ritschibie]

Mit einer Einladung zu renommierten Fachkonferenzen haben Unbekannte versucht, einen Trojaner bei Firmen der Rüstungsindustrie einzuschleusen. Wer den angehängten Flyer im PDF-Format öffnete, handelte sich über eine bis dahin nicht bekannte Lücke im Acrobat-Reader Spionage-Software ein, erklären die Sicherheitsfirmen Seculert und Zscaler.

Der Konferenz-Flyer war ein Trojanisches Pferd
Bild: Seculert

Ziel der Angriffe waren den Angaben zufolge vor allem europäische und amerikanische Firmen im Regierungsumfeld, darunter Rüstungs- und Luffahrtunternehmen. Die Angriffe sollen bereits 2009 begonnen und ihren Höhepunkt im Herbst 2010 erreicht haben. Noch vor wenigen Wochen habe man kompromittierte Rechner entdeckt, von denen einige seit zwei Jahren infiziert waren, erklärte Aviv Raff, CTO von Seculert, gegenüber heise Security.

Über einen 0day-Exploit in Adobes Reader gelangte letztlich der Trojaner msupdater.exe auf die Systeme, der sich dann nach Kräften bemühte, auch wie ein ordentlicher Update-Prozess auszusehen. So verwendete er etwa URLs der Form hxtp://domain.com/microsoftupdate/getupdate/default.aspx?ID=... Er enthielt ein so genanntes Remote Adminstration Toolkit, über das sich der Arbeitsplatzrechner dann überwachen und fernsteuern ließ.

Zum Zeitpunkt der Attacken flogen die Trojaner noch weitgehend unter dem Radar der AV-Hersteller; mittlerweile haben sie zwar längst Signaturen für die damals eingesetzten Exploits und Spionagaprogramme wie msupdater.exe nachgereicht. Ob sie die aktuell eingesetzten Spionage-Tools jedoch erkennen, darf man bezweifeln.

Quelle: www.heise.de

[SiLæncer]

Die US-Behörden wollen zukünftig - trotz eines stark gekürzten Militär-Budgets - einen noch größeren Fokus auf das Internet, die Cyber-Sicherheit und die Vorbereitung auf einen eventuellen Cyber-Krieg legen. Das kündigten Vertreter des Weißen Hauses, des Pentagons und der National Security Agency (NSA) auf der diesjährigen RSA-Sicherheitskonferenz in San Francisco an.

Der stellvertretende US-Verteidigungsminister Ashton Carter erklärte in einem Vortrag, das Budget für den "Cyber-Krieg" solle trotz der insgesamt geringeren für die nächsten Jahre geplanten Militärausgaben erhöht werden. "Schiffe, Flugzeuge, Bodentruppen und vieles andere werden reduziert, aber nicht der Cyber-Bereich. Die Investitionen belaufen sich hier auf einige Milliarden Dollar, und sie werden steigen," sagte Carter und zeigte somit, welche Bedeutung die US-Regierung dem neuen "Kriegsschauplatz" beimisst.

Das Geld soll dabei nicht alleine für die Infrastruktur der Regierungen selbst und die Rekrutierung kompetenter Experten ausgegeben werden. Vielmehr will die US-Regierung auch die Art und Weise, wie private Unternehmen das Internet gestalten, zukünftig stärker beeinflussen. Auch sollen die Wirtschaftsunternehmen verpflichtet werden, beim Schutz vor Cyber-Angriffen - sowie der Beseitung von durch derartige Angriffe entstandenen Schäden - mitzuwirken.

Deborah Plunkett, Leiterin des Information Assurance Directorate, wünscht sich außerdem die Möglichkeit einer zentralisierten Kontrolle über Netzwerk-Ressourcen, um im Falle eines Angriffs besser reagieren zu können. So müssten Unternehmen oder Behörden zukünftig in der Lage sein, im Falle eines Angriffs Netzwerk-Verbindungen zu trennen oder "Systeme zu isolieren". Dies widerspricht dem bisherigen, dezentralen Ansatz des Internets und würde die Machtverhältnisse im Netz massiv verändern. Die Technologie für derartige Eingriffe existiert Berichten zufolge zumindest im Experimental-Stadium. Ähnlich wie Plunkett äußerte sich auch Howard Schmidt, Cyber- Sicherheitskoordinator von Präsident Obama. Er erklärte, die Tage des organisch wachsenden, dezentralen Internets seien vorbei. Stattdessen müsse die weitere Entwicklung des Internets so gesteuert werden, dass die Sicherheit von vorne herein berücksichtigt werde. Anderenfalls, so der Experte, würden alle US-Bürger unter den Folgen zu leiden haben.

Gesetzesentwürfe, die das von den Regierungsvertretern beschriebene Maß an staatlicher Kontrolle ermöglichen würden, sind derzeit bereits in Arbeit.

Quelle: www.gulli.com

[SiLæncer]

Ein Mitarbeiter der iranischen Urananreicherungsanlage Natanz soll den israelischen Auslandsgeheimdienst Mossad dabei unterstützt haben, den Stuxnet-Virus in die Anlage einzuschleusen. Dies berichtet das Onlinemagazin ISS Source, das sich dabei auf US-Geheimdienstkreise beruft. Demnach hat der Mitarbeiter iranischer Herkunft einen speziell präparierten USB-Stick genutzt, um die Systeme in Natanz gezielt mit dem Schädling zu infizieren. Laut den Angaben sei der Täter wahrscheinlich Mitglied einer oppositionellen Gruppe.

Darüber hinaus soll der Mossad Doppelagenten eingesetzt haben, die den schwächsten Punkt der Anlage aufgespürt haben, um die Erfolgschancen zu erhöhen. Laut dem Bericht gehören diese Agenten wahrscheinlich der militanten iranischen Oppositionsbewegung Volksmudschahidin (Mojahedin-e Khalq, kurz MEK) an.

Stuxnet sorgte im Sommer 2010 für Aufsehen, da er sich zuvor unbekannter Sicherheitslücken in Windows bediente, mit gültigen Zertifikaten signiert war und nach bisherigem Kenntnisstand speziell für die Manipulation der Urananreicherungsanlage in Natanz entwickelt wurde.

Quelle : www.heise.de

[ritschibie]

Kaspersky-Gründer und -CEO Eugene Kaspersky
(Bild: Alexey Sazonov/AFP/Getty Images)

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware.

Entdeckt wurde die neue Schadsoftware zur Cyber-Spionage von Kaspersky Lab bei einer von der ITU beauftragten Untersuchung. Kaspersky taufte sie auf den Namen Worm.Win32.Flame. Gefunden wurde Flame bei der Suche nach einer anderen, destruktiven Schadsoftware namens Wiper, die die ITU in Auftrag gab, nachdem in Westasien wiederholt Daten gelöscht wurden. Wisper wurde noch nicht gefunden, dafür aber Flame.

Laut Kaspersky ist Flame in der Lage, Screenshots und auch Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann aber auch Dateien ausspähen. Flame soll seit März 2010, also seit über zwei Jahren, zum Einsatz kommen. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky.

Die Funktionen von Flame unterscheiden sich dabei von anderen "Cyber-Waffen" wie Duqu und Stuxnet, die geografische Verbreitung, die Art, wie Sicherheitslücken ausgenutzt werden und die Tatsache, dass Flame sehr zielgerichtet zum Einsatz komme, zeigten aber eine Nähe zu Duqu und Stuxnet. Allerdings basiert Flame nicht auf der Tilded-Plattform, die von Duqu und Stuxnet verwendet wird.

Nach Ansicht von Kasperky wurde Flame in erster Linie zur Cyber-Spionage entwickelt. Die Software entwendet Informationen von infizierten Systemen und sendet sie an ein Netz von Kommando- und Kontrollservern, das weltweit verzweigt ist. Dabei ist Flame auch in der Lage, Netzwerkverkehr abzufangen.

Noch ist nicht ganz klar, wie sich Flame verbreitet, laut Kaspersky ist aber sicher, dass sich Flame über lokale Netze replizieren kann und dabei unter anderem die gleiche Drucker-Schwachstelle und USB-Methoden nutzt wie Stuxnet. Dabei besteht Flame aus rund 20 Modulen und umfasst insgesamt mehrere Megabyte an ausführbarem Code. Insgesamt ist Flame rund 20-mal großer als Stuxnet, wodurch die Analyse wohl deutlich länger dauern wird.

Dass Flame so groß ist, liegt vor allem daran, dass die Software diverse Bibliotheken enthält, darunter zlib, libbz2 und ppmd zur Kompression, die Datenbank SQlite3 und eine Lua Virtual Machine zur Ausführung der Scriptsprache Lua, in der Teile von Flame geschrieben sind. Kaspersky geht davon aus, dass der in Lua geschriebene Flame-Kern nur etwa 3.000 Codezeilen umfasst. Flame nutzt dabei verschiedene DLLs, die beim Systemstart geladen werden.

Der Einsatz von Lua in einer Schadsoftware ist eher ungewöhnlich, Gleiches gilt für die Nutzung von Bluetooth: Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben.

Darüber hinaus macht Flame regelmäßig Screenshots, vor allem dann, wenn Software wie Instant Messenger laufen.

Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten. Das russische Unternehmen listet 189 Infektionen im Irak, 98 in den palästinensischen Gebieten Israels, 32 in Sudan, 30 in Syrien, 18 im Libanon, zehn in Saudi-Arabien und fünf in Ägypten.

Neben Kaspersky haben auch Crysys Lab aus Budapest und Irans National Cert (Maher) die Malware untersucht: Bei Crysys heißt sie Skywiper, bei Maher "Flamer". Kaspersky hat unter Securelist.com eine FAQ zu Flame veröffentlicht.

Quelle: www.golem.de

[SiLæncer]

Als erstes Bundesland hat Hessen seinen Bericht über die Stabsrahmensübung Lükex 2011 online veröffentlicht (PDF-Datei). Anders als die durchweg positive Bewertung des Bundesinnenministeriums kommen die hessischen Fachleute zu dem Schluss, dass Lükex 2011 von einem hohen Maß an Übungsbürokratie geprägt war, die keinen inhaltlichen Mehrwert produzierte. Außerdem sei entgegen der Übungsplanung die Kommunikation über Social Media nur unzureichend realisiert worden.

Lükex 2011 war eine Krisenmanagement-Übung, in der ein Angriff aus dem Cyberspace auf staatliche wie private Webseiten simuliert wurde. Durchgespielt wurde der Angriff von Malware über infizierte PDF-Anhänge auf fiktive Webseiten des Bundesinnenministeriums, des BSI, des Flughafen Frankfurts und des sozialen Netzwerkes Lüki-VZ. Der Lükex-Krisenstab hatte die Aufgabe, möglichst schnell die wirklich sicherheitsrelevanten IT-Störungen festzustellen, Gegenmaßnahmen einzuleiten und diese mittels Presse der Bevölkerung zu vermitteln, die durch eine drastisch gestiegene Zahl von nicht mehr erreichbaren Webseiten und Fehlbuchungen bei den Banken verunsichert war. Durch reißerische Berichterstattung der Security-Fachpresse wurde die Unsicherheit in der Bevölkerung noch weiter erhöht und die geschalteten Telefonleitungen für Auskünfte brachen dementsprechend zusammen. Im Internet funktionierte nur noch die Kommunikation mittels Lüki-Tweet. Im Bundesland Hessen brachen mehrere IT-Dienste zusammen, darunter das Active Directory des Landes, die Zahlung von Elterngeld und die Durchführung von Sicherheitsüberprüfungen durch Polizei und Verfassungsschutz.

In der Bekämpfung dieses fiktiven Szenarios bewährte sich die in Hessen eingesetzte Software (ILIAS-Hessen) ebenso wie die Zusammenarbeit der verschiedenen einberufenen Krisenstäbe, heißt es im hessischen Abschlussbericht, der auch Kritik übt: "Es war ein hohes Maß an Übungsbürokratie festzustellen, ohne dass erkennbar war, welcher inhaltliche Mehrwert damit generiert wurde."

Die Stabsrahmenübung wurde von beauftragten Wissenschaftlern beobachtet, die weitere Kritik übten. So wurde bemängelt, dass das Vertrauen der Krisenstäbe in den Nutzen und die Nutzung von Social Media nicht sehr ausgeprägt war und stellenweise geradezu abgelehnt wurde. "Dennoch ist die Nutzung von Social Media definitiv nicht mehr nur alltägliche Praxis von einer kleinen Personengruppe, sondern vielmehr deutlich ausgeprägter und alters- und schichtübergreifender. Außerdem wird hierbei auch das positive Potential dieser Medien für die unterstützende Informationsgewinnung oder Problemlösung verkannt", lautet das Fazit des Zentrums für interdisziplinäre Forschung der Universität Bielefeld.

Beobachter von der Forschungsstelle interkulturelle Wirtschaftskommunikation der Universität Jena bemängelten in den Lagevorträgen und Handlungsanweisungen eine "Dominanz polizeilicher Sichtweisen und Themen" auf die IT-Katastophe. Wichtiger als die Bekämpfung des Angriffes aus dem Cyberspace war damit die Aufrechterhaltung polizeilicher Kommunikationsstrukturen.

Die nächste Katastrophenschutzübung der Lükex-Reihe wird sich 2013 mit dem Thema Lebensmittelsicherheit befassen. Sie soll ein Szenario durchspielen, bei dem die Bevölkerung durch ein Virus bedroht wird, das über verunreinigte Lebenmittel in den Umlauf kommt.

Quelle : www.heise.de

[SiLæncer]

Das BSI hat bislang keine Meldungen dazu, dass Flame in deutschen Unternehmen, Behörden oder auf privaten Rechnern gefunden wurde. Doch Eugene Kaspersky meint, "solche Cyberwaffen können leicht gegen jedes Land eingesetzt werden."

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat bisher keine Belege dafür, dass Flame Rechner in Deutschland befallen hat. "Dem Bundesamt für Sicherheit in der Informationstechnik liegen derzeit keine Erkenntnisse vor, die auf eine Betroffenheit von Einrichtungen in Deutschland hindeuten würden", sagte ein Sprecher des Amtes der Westdeutsche Allgemeine Zeitung (WAZ). Die Software stelle auch keine Bedrohung für private Anwender dar.

"Ein Vergleich mit Stuxnet hinkt, da es sich beim Flame um eine Spionagesoftware handelt, während Stuxnet auf Sabotage ausgerichtet war", erklärte der BSI-Sprecher.

Laut dem IT-Sicherheitsunternehmen Kaspersky ist Flame in der Lage, Screenshots und Audioaufnahmen anzufertigen und an die Angreifer zu senden. Die Software kann auch Dateien ausspähen. Flame sammelt Informationen über entdeckbare Bluetoothgeräte und kann zudem dafür sorgen, dass das infizierte System per Bluetooth erkennbar wird, um auf diesem Weg Statusinformationen der Malware auszugeben. Flame soll seit März 2010 zum Einsatz kommen. Kaspersky hat Informationen, nach denen der Wurm voll gepatchte Windows-7-Systeme befallen kann. Da die Software sehr komplex sei und nur sehr zielgerichtet eingesetzt werde, sei sie bisher von keiner Sicherheitssoftware entdeckt worden, so Kaspersky. Firmengründer Eugene Kaspersky meint, "solche Cyberwaffen können leicht gegen jedes Land eingesetzt werden." Mit Flame infizierte Systeme befinden sich laut Kaspersky vor allem im Nahen Osten.

Flame, dessen Urheber unbekannt ist, sei darauf ausgerichtet, "Spionage zu betreiben und so viel Informationen wie möglich bei den Betroffenen abzugreifen", so das BSI. "Die Software ist so programmiert, dass eine Entdeckung, Auswertung und Analyse erheblich erschwert wird".

Der Antivirensoftwarehersteller Bitdefender will ein Removal-Tool entwickelt haben, das Flame aufspürt und entfernt. Das Unternehmen bezeichnet Flame als Trojan.Flamer.A.

Quelle : www.golem.de

[SiLæncer]

Die UNO plant, in Kürze eine offizielle Warnung vor dem kürzlich vom IT-Sicherheitsunternehmen Kaspersky Labs entdeckten Trojaner Flame herauszugeben. Dies zeigt, dass die zuständigen UNO-Offiziellen den Computerschädling offenbar für eine äußerst ernst zu nehmende Bedrohung halten.

Medienberichten zufolge will sich die zuständige UNO-Telekommunikationsbehörde in Kürze mit einer offiziellen Warnung an die Mitgliedsstaaten wenden. Das sei die schärfste Warnung, die seine Einrichtung jemals ausgesprochen habe, teilte Sicherheitschef Marco Obiso in einem am Dienstag veröffentlichten Interview mit.

In Deutschland wurden bislang keine Infektionen mit dem Trojaner entdeckt. "Uns liegen bislang keine Erkenntnisse vor, die darauf schließen ließen, dass Flame in Deutschland eingesetzt wurde", erklärte der Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Tim Griese, gestern in Bonn. Allerdings haben die meisten Schutzprogramme Probleme mit der Entdeckung des Trojaners, weswegen es möglich ist, dass Infektionen unentdeckt bleiben.

Quelle: www.gulli.com

[SiLæncer]

Israel dementierte am heutigen Donnerstag Spekulationen, denen zufolge israelische Behörden hinter der Flame-Malware, die vor allem im Nahen Osten zahlreiche Rechner infizierte, stecken. Entsprechende Vermutungen beruhten auf einem Missverständnis, so ein Regierungssprecher.

Flame infizierte aktuellen Erkenntnissen zufolge mindestens 600 Computer insbesondere im Iran und anderen nahöstlichen Ländern. Die Urheber der Malware sind nach wie vor unbekannt. IT-Sicherheitsforscher des Unternehmens Kaspersky Labs, das den Schädling entdeckte, erklärten, die Komplexität und allem Anschein nach mangelnde Profit-Orientierung der Schadsoftware lasse auf einen Nationalstaat als Urheber schließen.

Gestern tauchten Gerüchte auf, denen zufolge Israel der Urheber von Flame sein sollte. Kommentare des stellvertretenden Verteidigungsministers Moshe Ya'alon´wurden die von einigen Beobachtern als Bekenntnis zu einer israelischen Beteiligung an Flame verstanden. Der Minister hatte in einem Radio-Interview angedeutet, die israelische Bedrohung sehe das iranische Atomprogramm als massive Bedrohung - wie auch viele andere Länder - und viele Länder würden alles in ihrer Macht stehende - tun, um dagegen vorzugehen. Darunter falle auch der Einsatz eines Trojaners. Diese Äußerungen, so ein Sprecher des Ministers heute, sei aber keineswegs als Bekenntnis zur Urheberschaft von Flame zu verstehen. Es handle sich bei entsprechenden Vermutungen um ein Missverständnis; der Minister habe in dem betreffenden Interview "an keiner Stelle" etwas gesagt, dass "impliziert, dass Israel für den Virus verantwortlich war".

Die USA, in den Medien ebenfalls teilweise als möglicher Flame-Urheber gehandelt, dementierten genau wie Israel eine Beteiligung. Die mit der Untersuchung von Flame beschäftigten Sicherheitsexperten hielten sich mit Schuldzuweisungen derzeit zurück; sie vertreten größtenteils die Ansicht, es sei noch zu früh, um Aussagen über den Urheber der Schadsoftware zu treffen.

Quelle: www.gulli.com

[SiLæncer]

Der Computer-Virus Flame ist nach Einschätzung deutscher Experten längst nicht so machtvoll und besonders wie von seinen russischen Entdeckern bezeichnet. "Das ist keine neue Superwaffe im Cyberkrieg, sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes Schad-Programm", sagte Virenexperte Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am Donnerstag der Nachrichtenagentur dpa. "Für mich gibt es keinen Grund, einen Superalarm in Deutschland auszulösen.

Der Computerschädling Flame war vom russischen Antivirus-Unternehmen Kaspersky Lab entdeckt worden. Flame spioniere seit über drei Jahren Computeranwender und Netzwerke im Iran, Nahen Osten und Nordafrika aus. "Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bislang bekannten Cyber-Bedrohungen", sagte Firmen-Chef Eugene Kaspersky am Dienstag. Er setzte Flame in eine Reihe mit dem Schädling Stuxnet, der bestimmte Industrieanlagen-Module von Siemens angreift und vermutlich zur Sabotage der Atomprogramme im Iran eingesetzt wurde.

Häger bestätigte, dass Flame ein umfassendes Überwachungstool darstellt. Nach der Analyse von Kaspersky kann das Schadprogramm den Datenverkehr in einem Netzwerk überwachen, das Mikrofon eines Rechners einschalten und damit Gespräche belauschen und Bildschirmfotos (Screenshots) aufnehmen und nach außen schmuggeln. Nach einer ersten BSI-Analyse seien diese Funktionen aber auch in bekannten Schadprogrammen wie "Poison Ivy" zu finden. "Stuxnet war etwas Besonderes, Flame aber nicht."

Der BSI-Experte sagte, es sei auffällig, dass sich die Programmierer von Flame wenig Mühe gemacht hätten, eine Analyse des Computerschädlings zu verhindern. So befänden sich noch sogenannte Debugging-Informationen in dem Code, die Programmierern beim Entfernen von Fehlern helfen. Merkwürdig sei auch, dass mehrfach Module für bestimmte Aufgaben wie Verschlüsselung, Komprimierung oder Dateispeicherung verwendet worden sein. "Da wurden offenbar Versatzstücke aus verschiedenen Baukästen verwendet." Nicht bewiesen sei auch die These, dass Flame vor allem im Iran eingesetzt worden sei. Von insgesamt 5000 genannten Infektionen seien lediglich 189 Fälle dem Iran zugeordnet worden, 98 Israel/Palästina, 32 dem Sudan, 18 dem Libanon und 10 für Saudi-Arabien. "Wo sind die anderen 4400 Fälle?", fragte Häger.

Unterdessen dementierte auch die israelische Regierung, in die Programmierung oder Verbreitung des Computerschädlings Flame verwickelt zu sein. Ein Regierungssprecher sagte der BBC, Vize-Premierminister Mosche Jaalon sei mit seinen Äußerungen zu Flame "falsch interpretiert" worden. Jaalon habe nie gesagt, sein Land stehe hinter der Cyber-Attacke. Der Vize-Premierminister hatte in einem Interview des israelischen Armeerundfunks erklärt, Israel sei damit "gesegnet, eine Nation zu sein, die überlegene Technologie besitzt". "Diese Errungenschaft eröffnet uns alle möglichen Optionen."

Quelle : www.heise.de

[SiLæncer]

Die Vermutungen, dass die Malware Stuxnet, mit der im Jahr 2010 gezielte Angriffe auf das iranische Atomprogramm gefahren wurden, aus staatlichen Entwicklerlabors der USA stammt, scheinen sich zu bestätigen. US-Präsident Barack Obama soll die Attacken persönlich angeordnet haben.

Das behauptet zumindest der Chefkorrespondent der 'New York Times' David E. Sanger und beruft sich dabei auf Informationen, die er aus Kreisen des Sicherheits-Apparates der USA erhalten haben will. Das dahinter stehende Programm trägt demnach die Bezeichnung "Olympic Games" und sei schon während der Bush-Administration gestartet worden.

Unter Obama soll sich die Entwicklung entsprechender Angriffsszenarien sogar noch beschleunigt haben - auch als Stuxnet schließlich in der Öffentlichkeit bekannt wurde. Bei der Entwicklung der Malware, die nicht nur die anvisierten Systeme attackierte, sondern sich durch einen Fehler weltweit verbreitete, war den Informationen zufolge auch Israel beteiligt - was sich ebenfalls in der Vergangenheit bereits andeutete.

Als Stuxnet aufflog warf Obama bei einem Treffen mit dem Vizepräsidenten Joseph R. Biden und dem damaligen Chef des Auslandsgeheimdienstes CIA Leon E. Panetta die Frage auf, ob man das Programm nicht besser stoppen sollte. Da aber unklar war, ob der Iran überhaupt genauere Kenntnisse des Quellcodes oder irgendwelche anderen Beweise für die Herkunft hatte, entschied man sich, weiterzumachen. Die Atomanlagen wurden in den folgenden Wochen dann von mehreren neueren Fassungen angegriffen.

Der Höhepunkt der Attacken sei laut der Zeitung erst einige Wochen nach dem ersten Bekanntwerden von Stuxnet in der Security-Szene erreicht worden. Rund tausend der 5.000 Zentrifugen, in denen Uran gewonnen wurde, lagen zu diesem Zeitpunkt still.

Wie Stadler ausführte, habe er dieses Bild der Lage durch Gespräche mit einer ganzen Reihe von derzeitigen oder ehemaligen Mitarbeitern der Sicherheitskräfte in den USA, Europas und Israels in den letzten 18 Monaten verifiziert. Da es sich um hochgradig der Geheimhaltung unterliegende Vorgänge handelt, könne keine der Quellen namentlich genannt werden.

Quelle : http://winfuture.de/

[SiLæncer]

Die Mitglieder des Verteidigungsausschusses des Bundestags staunten nicht schlecht, als sie den Bericht des Ministeriums zum Thema Cyber-Krieg auf den Tisch bekamen. Das sechsseitige Papier enthielt eine Botschaft, die vielen neu war. Die Bundeswehr ist nicht nur mit der Abwehr gegnerischer Attacken im Internet befasst. Sie bereitet sich seit Jahren darauf vor, selbst anzugreifen. Inzwischen ist sie zu solchen Attacken sogar schon in der Lage: "Eine Anfangsbefähigung zum Wirken in gegnerischen Netzwerken wurde erreicht", heißt es in dem Bericht.

Was das genau heißt, ist nicht erläutert. Bekannt ist bisher lediglich, dass die Abteilung "Computernetzwerkoperationen" der Bundeswehr bereits seit fünf Jahren aufgebaut wird und dem Kommando Strategische Aufklärung in Gelsdorf bei Bonn angegliedert ist. Zu Übungszwecken würden "Simulationen in einer abgeschlossenen Laborumgebung" durchgeführt, heißt es in dem Bericht. Die Einheit arbeite strikt getrennt von den für die Abwehr von Internet-Attacken zuständigen Abteilungen. Alles andere stuft das Ministerium als Geheimsache ein. Selbst die Zahl der Mitarbeiter wird nicht bekanntgegeben.

Für die Opposition im Bundestag wirft der Bericht mehr Fragen auf, als er beantwortet. Der SPD-Abgeordnete Hans-Peter Bartels befürchtet bereits, dass die Rechte des Bundestags ausgehebelt werden. "Das ist kein rechtsfreier Raum", mahnt er vorsorglich. Auch ein Hacker-Angriff der Bundeswehr auf einen Computer im Ausland kann seiner Ansicht nach als Auslandseinsatz angesehen werden, dem der Bundestag zustimmen müsste. "Ohne Parlamentsbeschluss geht nichts im Ausland", sagt er.

Der Grünen-Politiker Omid Nouripour will wissen, wie die Bundeswehr überhaupt auf die Idee gekommen ist, eine Abteilung Cyber-Attacke aufzubauen. "Welches Einsatzszenario ist da eigentlich vorausgesetzt worden?", fragt er. Sollen die Cyber-Soldaten feindliche Computer-Netzwerke nur ausspähen? Oder sollen sie auch in die Lage versetzt werden, Würmer zu entwickeln, mit denen gegnerische Infrastruktur zerstört werden kann?

Einen internationalen Präzedenzfall für letzteres Szenario gibt es seit zwei Jahren. Der Computerwurm Stuxnet wurde auf eine bestimmte Konfiguration von Siemens-Industriesystemen zugeschnitten. Experten gehen davon aus, dass er entwickelt wurde, um das iranische Atomprogramm zu sabotieren. Da der Arbeitsaufwand für ein derartiges Programm immens hoch ist, vermuten viele Spezialisten Staaten oder zumindest eine staatlich unterstützte Gruppe hinter dem Angriff. Nach unbestätigten Informationen der New York Times sollen die Stuxnet-Attacken von US-Präsident Barack Obama persönlich angeordnet worden sein.

Der Begriff Cyber-War ist fast 20 Jahre alt. Damals verwendeten amerikanische Wissenschaftler ihn in einer Studie. Die Nato nahm den Cyber-Krieg 2010 in ihr strategisches Konzept auf. Wie man zivile von militärischen Attacken abgrenzt, ist allerdings umstritten. Das Verteidigungsministerium definiert den Begriff Cyber-Krieg als «Angriffe staatlicher Institutionen auf Computersysteme und IT-Netzwerke eines oder mehrerer anderer Staaten, die substanzielle Auswirkungen auf die Handlungsfähigkeit dieser Staaten haben». Das Problem ist nur, dass Attacken sich kaum staatlichen Stellen zuordnen lassen.

Außer der Bundeswehr sind auch die Geheimdienste für die Abwehr von Cyber-Attacken zuständig. Im Bundesnachrichtendienst (BND) gehört der Ausbau einer Cyber-Sicherheits-Einheit zu den Schwerpunkten der Arbeit des neuen Präsidenten Gerhard Schindler. Bisher befassen sich beim deutschen Auslandsgeheimdienst verschiedene Abteilungen mit der Cyber-Spionage. In deutschen Sicherheitskreisen wünscht man sich, dass auch der BND künftig selbst zu Cyber-Attacken fähig ist – allein schon, um zu testen, ob die eigenen Datennetze sicher vor Attacken fremder Mächte geschützt sind. "An dieser Front müssen wir wesentlich mehr machen", sagt ein hoher Insider.

Quelle : www.heise.de

[SiLæncer]

Das Gerücht, dem zufolge die USA und Israel hinter dem Sabotage-Trojaner Stuxnet stecken, stellte sich kürzlich als zutreffend heraus. Wie Ende letzter Woche bekannt wurde, programmierten die beiden Länder tatsächlich den Computerschädling, um ihn gegen den Iran einzusetzen. Zur massenhaften Verbreitung des Trojaners kam es dann versehentlich.

Aufgedeckt wurden die Vorgänge rund um Stuxnet von dem US-amerikanischen Journalisten David Sanger. Sanger wird über den Fall detailliert in seinem neuen Buch " Confront and Conceal: Obama’s Secret Wars and Surprising Use of American Power" berichten und veröffentlichte den Stuxnet-Bericht vorab in der New York Times. In dem Bericht werden die Ereignisse, die zur Entwicklung und dem Einsatz von Stuxnet führten, detailliert beschrieben. Stuxnet wurde offenbar noch unter George W. Bush in Auftrag gegeben, aber von der Obama-Regierung weiter eingesetzt.

Eine von vielen Sicherheitsexperten als wahrscheinlich angesehene Theorie zur Urheberschaft von Stuxnet wird durch den Artikel bestätigt. Dem zufolge wurde der Trojaner von den USA und Israel gemeinsam entwickelt, um das iranische Atomprogramm durch Zerstörung der benötigten Zentrifugen zu sabotieren. Die USA hatten angeblich - neben der Schädigung des Iran - auch das Ziel, Israel dadurch von einem präventiven Militärschlag abzuhalten.

Stuxnet wurde, wie bereits angenommen, per USB-Stick in die Forschungsanlage von Natanz geschmuggelt. Angeblich geschah dies sogar mehrfach, um neuere, bessere Versionen des Schädlings zu platzieren.

Im Jahr 2010 allerdings schaffte es Stuxnet, die Anlage von Natanz - wahrscheinlich auf dem Laptop eines Angestellten - zu verlassen. In freier Wildbahn verbreitete er sich anschließend ebenso effektiv weiter wie innerhalb der Forschungsanlage. Die USA geben Israel die Schuld an der Modifikation, die diese unkontrollierte Verbreitung erlaubte - ob zurecht, ist aber schwer feststellbar.

Nachdem Stuxnet in freier Wildbahn auftauchte - wo er aufgrund seiner spezialisierten Natur wenig Schaden anrichtete - wurde er von Sicherheitsexperten entdeckt und analysiert. Der Rest der Geschichte dieses Computerschädlings ist allgemein bekannt.

Quelle: www.gulli.com

[SiLæncer]

Der Spionage-Virus Flame ist nach Erkenntnissen der Washington Post eine Gemeinschaftsarbeit der USA und Israel gewesen. Die Schadsoftware sei gezielt zum Ausspähen von iranischen Computernetzwerken eingesetzt worden und sollte Informationen für die Vorbereitung einer Cyberkriegs-Kampagne liefern, berichtete die Zeitung unter Berufung auf mit der Sache vertraute US-Beamte. Bei der Aktion seien die CIA, der Nachrichtendienst National Security Agency (NSA) sowie das israelische Militär involviert gewesen. Auch der Stuxnet-Virus, der auf den Befall bestimmter Industrieanlagen von Siemens spezialisiert ist, die im iranischen Atomprogramm eingesetzt werden, sei Teil der Attacke gewesen. Der Antiviren-Hersteller Kaspersky hatte zuvor Indizien entdeckt, die auf eine Verwandtschaft beider Viren hindeuten.

Die bekannt gewordenen Details über die Schadsoftware ließen den Schluss zu, dass Flame als Waffe in einer ersten längerfristigen Cyber-Sabotage-Kampagne gegen einen Gegner der USA eingesetzt worden sei, heißt es. "Es geht darum, ein Schlachtfeld für eine andere Art von verdeckten Maßnahmen vorzubereiten", sagte ein ehemaliger hochrangiger Mitarbeiter des US-Geheimdienstes der Zeitung. Flame und Stuxnet seien Bestandteile eines Angriffes, der bis heute andauere. Sprecher der CIA, der NSA und der israelischen Botschaftsvertretung in Washington wollten den Bericht auf Anfrage der Washington Post nicht bestätigen.

Flame wurde im Mai von Antivirus-Experten des russischen IT-Sicherheitsspezialisten Kaspersky entdeckt. Die Software kann Gespräche über das Mikrofon eines Rechners abhören, Bildschirminhalte scannen und Tastatureingaben abfangen. Während Kaspersky die Software als gefährliche Waffe bezeichnete, hatte das Bundesamt für Sicherheit in der Informationstechnik BSI sie zunächst als eher harmlos eingestuft.

Anfang Juni hatte die New York Times berichtet, dass der Computerschädling Stuxnet Bestandteil eines geheimen Cyberkriegsprogramms sei, das angeblich von US-Präsident Barack Obama persönlich angeordnet worden sei. Stuxnet sei ebenfalls von US-amerikanischen und israelischen Experten entwickelt worden. Er war gezielt auf die Infektion von Steuerungsanlagen ausgerichtet, wie sie etwa der Iran in seinen Atomanlagen nutzt.

Quelle : www.heise.de

[ritschibie]

Zusammen mit Bundesbehörden und Finanzunternehmen hatte Microsoft im März zwei Botnetze ausgehoben. Die darauf folgende Klage beim Bundesbezirksgericht in New York erging seinerzeit gegen Unbekannt – nun hat Microsoft nach eigenen Angaben zwei Verantwortliche ausgemacht. Der Konzern will alle Beweise, die die Schuld von Yevhen K. und Yuriy K. belegen sollen, nun der US-Bundespolizeibehörde FBI übergeben.

Die zwei Beschuldigten sollen bereits im Zusammenhang mit der Verbreitung von Zeus-Malware in Großbritannien in Haft sein, schreibt Richard Domingues Boscovich von Microsofts Digital Crime Unit. Microsoft habe die britische Regierung unterrichtet, dass der Konzern mit dem FBI zusammenarbeitet und seine Unterlagen weitergereicht hat. Trotz aller Bemühungen sei es nicht gelungen, die weiteren Beteiligten ausfindig zu machen, räumt Microsoft ein.

Der Softwarekonzern beschuldigt die Betreiber, in den vergangenen fünf Jahren Schäden von umgerechnet 75 Millionen Euro verursacht zu haben. Außerdem sollen Hintermänner die Malware zum Kauf angeboten haben, zu Preisen zwischen 700 Dollar (528 Euro) und 15.000 Dollar (11.000 Euro). Insgesamt geht Microsoft von weltweit 13 Millionen mit Zeus infizierten Rechnern aus. Die Zahl der Infektionen mit Zeus-Malware ist nach Angaben von Microsoft seit der Aktion im März bis Mitte Juni von 780.000 auf 340.000 zurückgegangen.

Quelle: www.heise.de

[ritschibie]

Sicherheitsforscher des BSI, der UN-Behörde ITU, Kaspersky Lab und Symantec haben einen umfassenden Bericht über die Kontrollserver vorgelegt, die unter anderem den aufgrund seines Umfangs als "Superspion" bezeichneten Trojaner Flame steuerten. Grundlage für die Untersuchungen waren zwei offengelegte Trojaner-Kontrollcenter.

Dort fanden die Forscher eine unauffällige Konfiguration aus OpenSource-Komponenten vor: Als Betriebssystem lief ein Debian 6, das virtualisiert in einem OpenVZ-Image lief. Der meiste Code war in PHP und Python geschrieben und griff auf eine MySQL-Datenbank zurück. Als Server diente Apache 2.x, der über die Ports 443 und 8080 per HTTPS zugänglich war. Das Web-Interface zur Steuerung des Kontrollservers lag in einem Ordner mit dem Namen /newsforyou/CP. Es war mit einem zehnstelligen ungesalzenen Kennwort gesichert, dessen Hash die Forscher in der lokalen MySQL-Datenbank fanden.

Auf den ersten Blick waren die Forscher von Kaspersky Lab von der Oberfläche enttäuscht: Sie sehe aus wie von Skript-Kiddies gestaltet. Die Zurückhaltung ergebe allerdings Sinn: Wo Botnet-Betreiber gern mit ihren Photoshop-Skillz angeben, sollte die Flame-Steuerung ja so wenig wie möglich auffallen.

Die durch Flame unterwanderten Rechner wurden auf eine ungewöhnliche Art ferngesteuert: Statt direkter Befehle sendete das Kontrollcenter tar.gz-Container, deren Inhalt der Zielrechner automatisch entpackte, um daraus seine Anweisungen zu beziehen. Die Drahtzieher konnten auf diesem Wege sowohl alle infizierten Systeme gleichzeitig als auch einzelne Rechner fernsteuern.

Alle vom Trojaner an das Kontrollcenter gesendeten Daten wurden dort durch ein Public-Key-System lokal verschlüsselt. So lassen sich die erbeuteten Daten nur mit dem privaten Schlüssel des Angreifers auslesen. Die verschlüsselten Daten wurden in halbstündigen Abständen vom Kontrollserver abgezogen. Allein einer der geknackten Server schleuste innerhalb einer Woche 5,5 Gbyte erbeutete Daten an die Angreifer durch. Den Analysen zufolge kontaktierte dieser Server innerhalb einer Woche über 5000 IP-Adressen, von denen über 3700 aus dem Iran stammten. An zweiter Stelle standen 1280 Netzaddressen aus dem Sudan. Insgesamt schätzen die Forscher, dass Flame über 10000 Rechner infizierte.

Eine Analyse der Kommunikationsprotokolle ergab, dass die Server vier Client-Typen steuern konnten. Sie tragen die Code-Namen IP, SP, SPE, und FL – letzteres ist der Flame-Trojaner. Aus diesen Eckdaten leiten die Forscher ab, dass es neben Flame noch drei weitere Trojanermodelle aus der gleichen Quelle gibt.

Von einem der Flame-Cousins hat Kaspersky Lab bereits erste Spuren gefunden; demzufolge ist SPE derzeit aktiv und bislang unentdeckt. Code-Bestandteile weisen darüber hinaus auf einen fünften Trojaner hin, der zum Zeitpunkt der Stilllegung von Flame noch nicht zuende entwickelt worden war.

Die Forensiker haben aus den Daten des Kontrollservers noch zahlreiche weitere Informationen extrahiert, darunter die Codenamen von vier Entwicklern, deren Gewohnheiten auf einen Windows-Hintergrund hinweisen. Dem Code nach begann die Entwicklung des Kontrollservers im Dezember 2006, was die Flame-Plattform deutlich älter macht als zuvor angenommen.

Der Bericht von Kaspersky legt nahe, dass die Entwickler des Kontrollservers in erster Linie mit Red-Hat-Distributionen vertraut sind. Dies würde dazu passen, dass die Kontrollcenter des Duqu-Trojaners auf CentOS basieren, das seinerseits von Red Hat Enterprise Linux abgeleitet ist.

Angesichts der eingesetzten kryptografischen Methoden, der Komplexität der Kontrollserver und der systematischen Verschlüsselung aller erbeuteten Daten geht Kaspersky Lab weiterhin davon aus, dass Flame aus einer staatlichen Quelle stammt. Einem Bericht der Washington Post zufolge wurden Flame und Stuxnet von Israel und den USA entwickelt.

Die Existenz der Flame-Spyware war erstmals im Mai 2012 publik geworden. Schnell stellte sich heraus, dass der Trojaner schon seit Jahren, aber sehr gezielt im Nahen Osten eingesetzt wurde. Der Spion trug eine gültige Signatur von Microsoft und kam als gefälschtes Windows-Update auf die Zielrechner. Bei den vom Trojaner ausgespähten Daten soll es sich vor allem um Office-Dokumente, PDF-Dateien und technische Zeichnungen gehandelt haben.

An der Untersuchung war das Computer Emergency Response Team (CERT) des Bundesamts für Sicherheit in der Informationstechnik (BSI), die IMPACT-Gruppe der International Telecommunications Union (International Multilateral Partnership Against Cyber Threats) sowie die Antivirus-Hersteller Kaspersky Lab und Symantec beteiligt.

Quelle: www.heise.de