DÜSSELDORF. Kanadische Forscher haben am Wochenende einen Bericht über ein international operierendes Spionagenetz veröffentlicht, das weltweit staatliche und private Computer attackiert und zahllose Dokumente gestohlen hat. Betroffen seien mindestens 1 295 Rechner in 103 Ländern, schreibt das Munk-Zentrum für Internationale Studien der Universität Toronto. Bis zu 30 Prozent der infizierten Computer seien "hochrangige Ziele" wie Regierungsstellen, Außenministerien, Botschaften, Medien und internationale Organisationen, hieß es.
Für ihren gezielten Angriff auf staatliche Behörden und Regierungen sowie Büros des Dalai Lama haben die noch unbekannten Computer-Spione nicht einmal ausgeklügelte Werkzeuge genutzt. Sie schleusten sogenannte Trojanische Pferde ein und verschafften sich damit Zugang zu den Rechnern.
Dabei setzen die Angreifer auf "bewährte Technik", wie Alexander Vukcevic, Manager des Virenlabors bei Avira, im Gespräch mit dem Handelsblatt betonte. Das als Spionagetool benutze Softwarepaket "ghOstrat" kursiert als frei zugängliche Open Source-Quelldatei seit Jahren im Internet und ist eine sogenannte "Remote Access"-Software, eine Fernsteuerungssoftware. Diese Basispaket wurde dann für die jeweiligen Ziele "genau passend zurechtgeschneidert", so Vukcevic, "die wussten genau, wen sie haben wollten".
Einfallstore waren dann E-Mails, "Driveby"-Webseiten, auf den Schadprogramme versteckt waren oder Word-Dokumente, die sogenannte "Exploits" - Lücken in MS Office - ausnutzten. Die nach dem Befall aufgespielte Software konnte dann den gesamten E-Mail-Verkehr eines Rechners mitlesen, Programme und Passwörter ausspionieren oder ungefährliche Dateianhänge echter Mails gegen infizierte austauschen.
Vermutlich seien die Angreifer auch durch eine Schwachstelle des Dokumentenformats PDF eingedrungen, erläutert IT-Sicherheits-Experte Christoph Fischer im Gespräch mit dem Handelsblatt. Diese Lücke sei besonders anfällig, wenn auf dem Rechner die Scriptsprache JavaScript für die Darstellung in einem Web-Browser aktiviert ist. Wer sich schützen will, sollte diese deaktivieren. Allerdings funktionieren dann auch eine ganze Reihe seriöser Webseiten schlicht nicht mehr.
Wie bei "Big Brother" konnten die Spione mit ihrer Software auf den infizierten Computern auch die Kamera und Tonaufnahme anschalten und so den betreffenden Raum überwachen. Ob diese Funktion genutzt wurde, wissen die Forscher allerdings nicht. Avira-Experte Vukcevic geht jedenfalls davon aus, dass der Schaden "erheblich" sein muss. Die Attacke sei mindestens über zwei Jahre gelaufen und Botschaften und Behördencomputer waren betroffen.
Die kanadischen Forscher kamen dem Netzwerk auf die Spur, als sie im Auftrag des seit 1959 im indischen Exil lebenden Dalai Lama dessen Computer auf schädliche Software hin untersuchten. Die noch laufende Operation - "GhostNet" (Geisternetz) genannt - wird fast ausschließlich von Rechnern in China kontrolliert, heißt es. Eine Beteiligung der chinesischen Regierung ließ sich jedoch nicht nachweisen, betonen die Forscher. Avira-Virenjäger Vukcevic: "Das könnten genau so gut patriotische Privatpersonen gewesen sein". Gerade die Volksrepublik China ist bekannt für eine Heer von exzellent ausgebildeten jungen IT-Fachkräften.
