1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
|
title: Bundestrojaner in ELSTER-Software entdeckt
date: 2007-04-01 12:24:00
updated: 2009-11-07 14:42:31
author: 46halbe
tags: update, elster
Untersuchungen des Chaos Computer Clubs ergaben, daß der Bundestrojaner über die aktuelle Version der ELSTER-Software verbreitet wird.
<!-- TEASER_END -->
Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr
2006/2007 in der Version 8.1.0.0 \[1\] für den Steuerbürger
bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der
Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen
intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche
Hinweise, daß über die fragwürdige Software der sogenannte
Bundestrojaner \[2\] verbreitet wird.
Der Bundestrojaner, kürzlich als neues Werkzeug des Überwachungsstaates
in die Schlagzeilen geraten, soll das Ausspähen der gesamten
steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem
Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels
ELSTER-Software abzugeben. Daß es dem CCC nach wenigen Tagen gelang, den
Trojaner ausfindig zu machen, spricht nicht eben für die Qualität der
Spitzelsoftware.
Die Analyse zeigte verschiedene verdächtige Module, wie z. B.
wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in
modernen Computern einschalten kann. Weitere Routinen dienen der
Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion
sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit
der IP-Adresse 217.7.176.25 \[3\].
Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich
unabhängig vom ELSTER-Programm auf dem System einzunisten. Die
Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem
Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung:
"Systemfehler 70797976 – Neustart erforderlich."
Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es
erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch,
da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer
erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und
ausführbaren Code auf dem Rechner zu plazieren. "Damit ist der
unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte
CCC-Spezialexperte Jens-Thorben Janckiewozki.
Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in
der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf
Schwachstellen des Bundestrojaners aufsetzender Wurm dient
wahrscheinlich dem Abfangen von PIN- und TAN-Eingaben von
Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von
gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des
Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte
Gefahr im Internet ausgemacht.
Bisher war weder das BKA noch das Bundesinnenministerium für eine
Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA
jedoch zu, daß in den eigenen Reihen niemand den Trojaner programmiert
hätte. Dafür mußten schon aus Kostengründen im Ausland Fachkräfte
angeworben werden. Die großen Antivirenhersteller haben mittlerweile
ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen
entsprechende Updates zu verbreiten.
- \[1\] [ElsterWeb](https://www.elster.de/)
- \[2\] [Wikipedia:
Bundestrojaner](http://de.wikipedia.org/wiki/Bundestrojaner)
- \[3\] [Whois
217.7.176.25](http://www.ripe.net/whois?searchtext=217.7.176.25)
Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen
sehen wir uns angehalten, darauf hinzuweisen, daß es sich bei dieser
Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem
nicht ausschließen, daß die ELSTER-Software den Bundestrojaner oder
Schlimmeres enthält.
|