Spionage-Trojaner knacken: Kaspersky sucht Hilfe

Cyber-Spionage ist das Spezialgebiet von Gauss, einem Trojaner, den Kaspersky kürzlich entdeckt hat. Jetzt bittet das Sicherheitsunternehmen um Hilfe: Gesucht werden Experten zum Knacken der verschlüsselten Nutzdaten in Gauss.

Die Spionage-Trojaner Gauss nutzt USB (Foto: dondoc-foto - Fotolia.com).

Kaspersky geht davon aus, dass Gauss mit staatlichem Hintergrund finanziert worden ist. Die Spionage-Plattform ist auf das Stehlen von Daten »spezialisiert«, darunter Internet-Passwörter, Angaben zu Online-Bankkonten und Systemeinstellungen der infizierten Computer. Das Sicherheitsunternehmen spricht von einer Cyberwaffe. Deren Schadmechanismus ist ein in das Modul namens Godel. Es greift sehr zielgenau ganz bestimmte Computersysteme an, sofern ein bestimmtes Programm installiert ist und nutzt dazu USB. Wenn ein infizierter USB-Stick in einen lückenhaft geschützten Computer gesteckt wird, tritt die Schadsoftware in Aktion. Sie versucht den verborgenen Schadmechanismus mittels einer Zeichenfolge zu entschlüsseln, die aus der Systemkonfiguration des angegriffenen Computers gewonnen wird. Für die erfolgreiche Entschlüsselung ist beispielsweise ein Ordner in den Programmdateien notwendig, dessen erster Buchstabe auf einer erweiterten Zeichentabelle beruht – wie im Arabischen oder Hebräischen. Wenn die Schadsoftware die entsprechenden Systemeinstellungen findet, dann werden die verschlüsselten Nutzdaten dekodiert und ausgeführt.

Wie das genau funktioniert, darüber rätselt das Sicherheitsunternehmen noch: »Der Zweck und die Funktionen des verschlüsselten Mechanismus bleiben uns derzeit verborgen«, sagt Alex Gostev, Chief Security Expert von Kaspersky Lab. Er ist sich sicher: »Die Nutzung der Verschlüsselung und weitere Maßnahmen der Autoren weisen darauf hin, dass deren Ziele hochsensibel sind«. Auch der der Umfang des verschlüsselten Codes sei ungewöhnlich. »Die verborgenen Daten sind so umfangreich, dass sie Code zur Cyber-Sabotage enthalten könnten – ähnlich zum SCADA Code von Stuxnet. Die Entschlüsselung würde uns mehr über die Natur und die Ziele von Gauss verraten«. Interessierte mit Kenntnissen in den Bereichen Verschlüsselung, Reverse Engineering oder Mathematik. Die sich an der Entschlüsselung der Kodierung beteiligen wollen, können über die Webseite www.securelist.com Details abrufen und Kontakt zu Kaspersky aufnehmen.