Es ist eine neue Spionagesoftware aufgetaucht, die zuvor fünf Jahre lang unentdeckt ihr Unwesen treiben konnte. Kaspersky und Symantec berichten parallel über die ausgefeilten Angriffe. Kaspersky spricht von “Project Sauron”, bei Symantec ist von “Strider” und “Remsec” die Rede.

Die Schadsoftware ist modular aufgebaut und weiß sich raffiniert zu tarnen. Der Angriff ist derart aufwändig, dass er nur von einem staatlichen Geheimdienst stammen kann. Project Sauron wird für jedes Ziel neu konfiguriert, so dass man bei der Abwehr kaum auf wiederkehrende Muster bauen kann. Alle Module des Projekts nutzen bewährte starke Verschlüsselungsverfahren. Laut Kaspersky wurden Regierungsbehörden, Banken, Telekommunikationsunternehmen, Militär und Forschungseinrichtungen in Russland, Iran und Ruanda angegriffen. Die Virenforscher gehen davon aus, dass das nur die Spitze des Eisbergs ist. Um möglichst wenig Spuren zu hinterlassen, wird nur ein einziges Modul der Malware auf einem Server im angegriffenen Netz gespeichert.

Dazu nutzen die Angreifer einen Server, der möglichst viel Kontakt mit Client-PCs hat. Der ursprüngliche Infektionsweg ist bislang unbekannt. Auf den Clients wird die Malware jeweils nur in den Arbeitsspeicher geladen. Um Infektionen zu entdecken, muss daher der komplette Inhalt des Arbeitsspeichers gespeichert und analysiert werden. Das Projekt ist auf langfristige Spionage angelegt. Das zeigt sich deutlich in der Vielzahl der Module und der gezielten Vorgehensweise, in der die Module Schritt für Schritt aufeinander aufbauen. Als Ziel der Aktion konnte unter anderem der Diebstahl von Passwörtern und Dokumenten identifiziert werden.

Die erbeuteten Informationen werden auf mehreren Wegen verschlüsselt aus dem angegriffenen Netzwerk geschmuggelt. Dazu werden unter anderem E-Mails und DNS-Abfragen genutzt. Symantec hat ein Dokument mit Hinweisen veröffentlicht, an denen Sie erkennen können, ob Ihr Netzwerk infiziert ist.