Spyware auf Rechnern der syrischen Oppostion entdeckt

Wie CNN berichtet, wurden mehrere syrische Oppositionelle Opfer einer gezielten Computer-Attacke. Auch internationale Reporter, die Kontakt zu ihnen hatten, sind von dem Angriff betroffen. Telecomix berichtet ausführlich über die technischen Details.

Offenbar benutzten die Angreifer eine modifizierte Version der frei verfügbaren französischen Fernwartungs-Software darkcomet-rat um gezielt Passwörter, Kontakte und Onlineaktivitäten der syrischen Opposition im In- und Ausland auszuspähen. Zur Installation der Malware bedient man sich schon geknackter Profile: Eine Journalistin bekam von einem angeblichen Kontaktmann in der syrischen Opposition den Tipp, eine neue Sicherheitssoftware aufzuspielen, die er ihr praktischerweise als .exe-Datei schickte. Erst Wochen später erfuhr sie, dass der Kontaktmann zum Zeitpunkt der Übertragung seit Wochen in Haft saß.

Hochgeladen werden die kompromittierten Informationen auf den Server mit der IP 216.6.0.28, der vom syrischen staatlichen Internetkonzern STE (Syrian Telecommunications Establishment) betreut wird. Der wahrscheinlich seit Anfang des Jahres in Umlauf befindliche Trojaner ist mittlerweile unter der Bezeichnung „backdoor.breut“ bekannt und wird von aktuellen Versionen bekannter Virenscanner erkannt.

Ein zweiter Virus, der ebenfalls von Dlshad Othman, einem IT-Berater der syrischen Opposition entdeckt wurde, ist wesentlich komplexer aufgebaut und wird derzeit analysiert.

Auch wenn ein direkter Zusammenhang mit dem Vorgehen der syrischen Regierung gegen in Opposition, bei dem tausende Menschen starben und laut UN höchstwahrscheinlich Verbrechen gegen die Menschlichkeit begangen wurden, nicht zweifelsfrei nachgewiesen werden kann, zeigt dieser Fall doch zumindest die potenzielle Gefährlichkeit einer militärischen Nutzung von Überwachungssoftware. Auch in Deutschland soll mit dem „Staatstrojaner“ eine Zugriffsmöglichkeit des Staates auf die Computer der Bürger geschaffen werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. man kann ehrenamtlichen gruppen wie telecomix nur danken, diese wichtige arbeit zu machen.

    und bei den reaktionen des syrischen staates können wir ja mal genau hinhören, ob uns ein paar formulierungen bekannt vorkommen. kann staatliche malware grundlage für rechtsstaatliches handeln sein? ich denke nicht, dass das überhaupt möglich ist.

    .~.

  2. – Der C&C-Server läuft seit November/Dezember 2011.
    – es wurden keine „geknackten Profile“ genutzt, sondern die Leute worden verhaftet und gefoltert, bis sie z.B. Skype-Passwörter rausrückten vgl. http://xkcd.com/538/

    Technisch:
    Die Viren heißen SVcHost.exe und liegen im System32-Ordner von Windows. Windows-Dateisysteme sind case sensitive, die meisten APIs aber nicht, deswegen fällt das nicht auf. Sollte ein SVcHost-Prozess nicht als SYSTEM, LOCAL SYSTEM oder NETWORK sondern als User-Prozess (nachgucken im Taskmanager), kann dies als gutes Indiz für eine Infektion gewertet werden.

  3. OMG der kontaktmann wurde vielleicht solange gefoltert, bis er sein email-passwort herausgab. nur so konnte die journalistin vertrauen fassen, weil sie davon ausging, die mail war von ihm.
    wenn ich da so an unsere deutschen polizisten denke, ala: „warum geben sie uns nicht ihr email-passwort? haben sie was zu verbergen?“

  4. Nunja man kann sagen das wohl 75% aller Windows Rechner im Netz von „Spyware“ betroffen sind, was hier gemeint ist ist wohl eher ein Trojaner, daher ist die Uberschrift Irreführend.
    Was ich aber immer noch nicht Versehen kann , das solch sensible Rechner immernoch mit einem WindowsOS betrieben werden?
    Es dürfte sich doch mittlerweile herrumgesprochen haben das fast alle Angriffsprogramme darauf beruhen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.