F-Secure und Kaspersky enthüllen Bundestrojaner-Funktionen

Der Bundestrojaner späht auch VoIP- und Messenger-Kommunikationen aus Experten der IT-Sicherheitsfirmen F-Secure und Kaspersky haben nach eigenen Angaben weitere Komponenten der staatlichen Spähsoftware analysiert, die vom Chaos Computer Club (CCC) an die Öffentlichkeit gebracht wurde. Dabei stießen sie auf eine neue Version des Trojaners, wie der Kaspersky-Experte Tillmann Werner in einem Blogbeitrag mitteilte. Diese Form des Staatstrojaners unterstützt demnach nicht nur die gängige 32-Bit-Ausführung von Windows, sondern auch das neuere 64-Bit-System. Außerdem sei die Liste der Programme, die Ermittler auf dem Rechner von verdächtigen Personen überwachen wollen, mit 15 Anwendungen länger als bisher.

Überwacht werden Windows-Explorer, Browser, Skype und Chat-Programme

Überwacht werden demnach neben dem Datei-Manager von Windows die Browser Firefox sowie Opera und die Telefon-Software Skype. Auch weitere Anwendungen fürs Telefonieren im Internet (Voice over IP) sowie die Messenger-Programme ICQ, MSN Messenger, VoipBuster und Yahoo! Messenger kann das Programm überwachen. Die Spähsoftware besteht aus fünf Dateien, die in einem Installationsprogramm enthalten sind, das die Sicherheitssoftwarefirma F-Secure gefunden hat. Alle Komponenten des Backdoor Trojaners wurden als Rootkit vom Typ R2D2 identifiziert. Die Malware wird von den Kaspersky-Programmen erkannt und blockiert.

Das Bundesverfassungsgericht hat der Überwachung von Computern enge rechtliche Grenzen gesetzt. Die Online-Durchsuchung eines Rechners ist nach einem Urteil aus dem Jahr 2008 nur bei konkreter Gefahr für hochrangige Rechtsgüter zulässig. Für das Abhören von Internet-Telefonaten gelten aber die weniger strengen Regeln der tausendfach praktizierten Telefonüberwachung - solange es allein dabei bleibt.

Bundestrojaner während Flughafenkontrolle auf Laptop geschleust

Laut Angaben von F-Secure wurde ein Exemplar des Bundestrojaners am Flughafen München auf das Laptop einer verdächtigen Person aufgespielt, während das Gerät zur Einreisekontrolle abgegeben wurde. Die Installationsdatei heißt "scuinst.exe" und wurde erstmals am 9. Dezember 2010 gesichtet. F-Secure fand heraus, dass dieser Dateiname eine Abkürzung darstellt, die auf den Skype Capture Unit Installer hinweist. Bei der "Skype Capture Unit" handelt es sich um einen kommerziell programmierten Trojaner zum Ausspähen von Skype, der von der deutschen Firma DigiTask in Haiger stammt. Wikileaks hatte bereits aufgedeckt, was es mit diesem Trojaner auf sich hat und dass das Zollkriminalamt diesen im Jahr 2009 zum Preis von rund zwei Millionen Euro bei DigiTask bestellt hatte. F-Secure und andere Hersteller von Sicherheitssoftware hatten den Bundestrojaner dann über virustotal.com erhalten.

Digitale Signatur für Bundestrojaner auf 64-Bit-Systemen

Kernel-Module wie zum Beispiel Treiber für 64-Bit-Versionen von Windows müssen zwangsläufig digital signiert sein - dies sollte normalerweise 64-Bit-Systeme besonders sicher machen. Doch die 64-Bit-Variante des Bundestrojaners bringt diese Zertifizierung tatsächlich mit. Im Einzelnen handelt es sich um ein 1024-Bit RSA-Zertifikat, das von der Zertifizierungsstelle "Goose Cert" am 11. April 2010 ausgestellt wurde. Allerdings muss der Nutzer die Installation dieses Zertifikats manuell bestätigen, damit das Software-Modul geladen wird.