F-Secure und Kaspersky enthüllen Bundestrojaner-Funktionen
Der Bundestrojaner späht auch VoIP- und Messenger-Kommunikationen aus
Foto: Arcor/Vodafone
Experten der IT-Sicherheitsfirmen F-Secure und Kaspersky haben
nach eigenen Angaben weitere Komponenten der staatlichen
Spähsoftware analysiert, die vom Chaos Computer Club (CCC) an die
Öffentlichkeit gebracht wurde. Dabei stießen sie auf eine neue
Version des Trojaners, wie der Kaspersky-Experte Tillmann Werner in
einem Blogbeitrag mitteilte. Diese Form des Staatstrojaners
unterstützt demnach nicht nur die gängige 32-Bit-Ausführung von
Windows, sondern auch das neuere 64-Bit-System. Außerdem sei die
Liste der Programme, die Ermittler auf dem Rechner von verdächtigen
Personen überwachen wollen, mit 15 Anwendungen länger als bisher.
Überwacht werden Windows-Explorer, Browser, Skype und Chat-Programme
Der Bundestrojaner späht auch VoIP- und Messenger-Kommunikationen aus
Foto: Arcor/Vodafone
Überwacht werden demnach neben dem Datei-Manager von Windows die
Browser Firefox sowie Opera und die Telefon-Software Skype. Auch weitere
Anwendungen fürs Telefonieren im Internet (Voice over IP) sowie
die Messenger-Programme ICQ, MSN Messenger, VoipBuster und Yahoo! Messenger kann das Programm überwachen. Die Spähsoftware besteht aus fünf Dateien, die in
einem Installationsprogramm enthalten sind, das die
Sicherheitssoftwarefirma F-Secure gefunden hat. Alle Komponenten des Backdoor Trojaners wurden als Rootkit vom Typ R2D2 identifiziert. Die Malware wird von den
Kaspersky-Programmen erkannt und blockiert.
Das Bundesverfassungsgericht hat der Überwachung von Computern enge rechtliche Grenzen gesetzt. Die Online-Durchsuchung eines Rechners ist nach einem Urteil aus dem Jahr 2008 nur bei konkreter Gefahr für hochrangige Rechtsgüter zulässig. Für das Abhören von Internet-Telefonaten gelten aber die weniger strengen Regeln der tausendfach praktizierten Telefonüberwachung - solange es allein dabei bleibt.
Bundestrojaner während Flughafenkontrolle auf Laptop geschleust
Laut Angaben von F-Secure wurde ein Exemplar des Bundestrojaners am Flughafen München auf das Laptop einer verdächtigen Person aufgespielt, während das Gerät zur Einreisekontrolle abgegeben wurde. Die Installationsdatei heißt "scuinst.exe" und wurde erstmals am 9. Dezember 2010 gesichtet. F-Secure fand heraus, dass dieser Dateiname eine Abkürzung darstellt, die auf den Skype Capture Unit Installer hinweist. Bei der "Skype Capture Unit" handelt es sich um einen kommerziell programmierten Trojaner zum Ausspähen von Skype, der von der deutschen Firma DigiTask in Haiger stammt. Wikileaks hatte bereits aufgedeckt, was es mit diesem Trojaner auf sich hat und dass das Zollkriminalamt diesen im Jahr 2009 zum Preis von rund zwei Millionen Euro bei DigiTask bestellt hatte. F-Secure und andere Hersteller von Sicherheitssoftware hatten den Bundestrojaner dann über virustotal.com erhalten.
Digitale Signatur für Bundestrojaner auf 64-Bit-Systemen
Kernel-Module wie zum Beispiel Treiber für 64-Bit-Versionen von Windows müssen zwangsläufig digital signiert sein - dies sollte normalerweise 64-Bit-Systeme besonders sicher machen. Doch die 64-Bit-Variante des Bundestrojaners bringt diese Zertifizierung tatsächlich mit. Im Einzelnen handelt es sich um ein 1024-Bit RSA-Zertifikat, das von der Zertifizierungsstelle "Goose Cert" am 11. April 2010 ausgestellt wurde. Allerdings muss der Nutzer die Installation dieses Zertifikats manuell bestätigen, damit das Software-Modul geladen wird.