Der Iran will sich vom Internet abkoppeln und ein eigenes Netz aufbauen. Ein nationales Netz könne die westliche Dominanz durchbrechen und das Land vor Cyberattacken schützen, wird vom iranischen Telekommunikationsminister Reza Tagipour berichtet (1). Bis zum September 2012 sollen alle staatlichen Stellen abgetrennt werden und bis 2013 alle Einrichtungen in ein nationales Intranet eingebunden werden (2).

Schon jetzt sollen rund fünf Millionen Webseiten ... in dem Land blockiert sein, verschlüsselte Verbindungen werden seit Februar systematisch gestört (1).
 

 Im Prinzip ist das möglich, würde Radio Jerewan im benachbarten Armenien melden, wenn man alle Knotenpunkte (Gateways) zu den grenzüberschreitenden Verbindungen überwacht. Welche Kontrolle man dann ausüben kann, hat ein ungenannter Interviewpartner bereits 2010 im Technology Review berichtet (3). Die geopolitische Lage des Iran macht das Unterfangen nicht ganz einfach, weil das Land an mehreren starken südasiatischen Kabeln (Routen von Europa nach Indien und in den Golf von Oman) und Landverbindungen zur Türkei, nach Russland und nach China liegt (4).

Hinzu kommt, dass das Border Gateway Protocol - BGP (5) - auf die rigide Netzarchitektur umgebogen werden muss. Es bewirkt zusammen mit dem Internetprotokoll, dass die von einzelnen Betreibern eingerichteten Teilnetze (Autonome Systeme - AS) miteinander verbunden sind und gegenseitig als Transportnetze funktionieren, die Datenströme durchleiten, ohne dass es zwingend eines internationalen Carriers bedarf (6). So können AS im Iran durchaus mit anderen AS in Nachbarstaaten verbunden sein, ohne dass die Verbindung über ein nationales Gateway führt. Solche Nebenverbindungen müssen komplett abgeschaltet werden, um ein nationales Netz vollständig von Internet zu isolieren. Dasselbe gilt für Satelliten-Verbindungen und das Roaming von Mobilnetzen in grenznahen Zonen.

Iran verfügt über stark ausgebaute Kommunikationsnetze und nimmt damit Platz 1 im Nahen Osten ein (7): Bei einer Bevölkerung von rund 70 Millionen gab es bereits 2008 mehr als 52.000 ländliche Büros, die landesweit Telekommunikations-Dienstleistungen zu den Dörfern lieferten. Es gibt rund 24 Millionen Festnetzanschlüsse und 18 Millionen registrierte Internetnutzer sowie weitere 5 Millionen Internetnutzer in Internetcafés. Die (technische) Gleichschaltung wird dadurch zu einem ernsthaften und anfälligen Massenproblem.

Die Verbreitung von Stuxnet in Indien (8) lässt auf nachhaltige wirtschaftliche Verbindungen zwischen Iran und Indien schließen, die durch eine Abkoppelung behindert werden könnten. Das könnte eine eigene Dynamik in die politischen Pläne bringen und das Vorhaben verhindern. Mal sehen, was wird.

(1) Iran plant wohl doch die Abkopplung vom Internet, Heise online 10.08.2012

(2) Iran will sich vom Internet abkoppeln, Spiegel online 10.08.2012

(3) Wolfgang Stieler, Mein Job beim Big Brother, Technology Review 29.03.2010

(4) Die Grafik ist nur ein grobes Schema, das ich aus verschiedenen Veröffentlichungen zusammen getragen habe. Siehe auch: internationales Kabelnetz (Schema).

(5) IP-Adressen ohne Beweiswert, 16.05.2010

(6) autonome Systeme und Tiers, 2007

(7) Communications in Iran

(8) Das Jahr der gezielten Angriffe, 20.11.2010
 

 
Das Sicherheitsunternehmen Kaspersky hat Ähnlichkeiten zwischen Stuxnet und den später entdeckten Malware-Varianten Flame, Duqu und Gauss festgestellt (1). Gauss ist erst im Juni 2012 entdeckt worden und treibt offenbar seit September 2011 im Nahen Osten sein Unwesen. Allein im Libanon sollen 2.500 Computer mit ihm infiziert sein. Das Cyberspionage-Toolkit ist in der Lage, vertrauliche Daten wie Browser-Passwörter, Zugangsdaten für Online-Banking, Cookies und Systemeinstellungen auszulesen.

Die Computerwoche hat ein Funktionsschema von Gauss veröffentlicht (2). Wie schon Stuxnet und Flame kann Gauss per USB-Stick verbreitet werden, ist schlanker und besser getarnt als seine Vorgänger. Die Malware ist offenbar auf das Ausspionieren spezialisiert und greift nicht in das Onlinebanking ein (3). Dabei nutzte der Trojaner dieselbe Sicherheitslücke bei der Behandlung von .LNK-Dateien wie zuvor Flame und Stuxnet. Gauss
legte die erspähten Informationen in einer versteckten Datei auf dem Stick ab (4).

Rätsel wirft Gauss auch deswegen auf, weil die Malware einen besonderen Schrifttyp namens Palida Narrow hinterlässt. Das könnte ein Anzeichen dafür sein, dass sie wie Flame das Font-Rendering unter Windows als Exploit nutzt (5). Einige Forscher spekulieren daher, dass Palida Narrow womöglich seine Schadfunktion nur unter speziellen Bedingungen ausführt, etwa durch Kerning-Befehle bei der Anzeige einer bestimmten Textfolge. Andere nehmen an, dass Palida Narrow den Entwicklern des Trojaners als "Marker" diente – eine geschickt programmierte Webseite kann ohne Weiteres herausfinden, ob ein bestimmter Font installiert ist.
 

 In der Tabelle links sind einige der Besonderheiten der fünf genannten Malware-Formen aufgeführt. Mit 20 Megabyte am größten ist Flame. Sie verfügt teilweise über den gleichen Code wie Stuxnet und könnte schon seit 2007 unbemerkt im Einsatz sein. Duqu scheint auf Stuxnet zu beruhen und könnte aus Indien stammen. Bemerkenswert an ihr ist, dass sie keine schädliche Funktion neben dem Ausspähen von Systemdaten und Tastatureingaben nachlädt, obwohl sie dazu in der Lage wäre. Der jüngste Spross - Gauss - beschränkt sich ebenfalls auf die Spionage ohne eine aktive maliziöse Funktion zu entfalten.

Allen gemeinsam ist, dass sie ähnliche Strukturen und teilweise denselben Code enthalten. Ihre Funktionalitäten und Ausführungen zeigen hochgradig professionelle Handschriften. In einem in der New York Times auszugsweise veröffentlichten Buch behauptet David E. Sanger über Stuxnet, das Projekt sei 2006 unter dem Namen "Olympic Games" begonnen und unter Beteiligung US-amerikanischer und israelischer Fachleute ausgeführt worden (9).

 
Das hatte Symantec bereits 2010 angenommen und nährt die Vermutung, dass auch die übrigen Varianten aus professionellen Software-Schmieden stammen (10).

Stuxnet ist die erste Malware gewesen, die industrielle Anlagensteuerungen von Siemens angegriffen hat (SCADA), um gezielt die iranische Urananreicherungsanlage in Natanz zu sabotieren (11). Ungewöhnlich waren auch der Verbreitungsweg über USB-Sticks und die Handschriften der beteiligten Programmierer, die deutlich von denen der Programmierer in der kriminellen Szene abweichen. Die drei anderen Malware-Formen scheinen auf die Datenspionage ausgerichtet und gezielt gegen bestimmte Personengruppen eingesetzt worden zu sein. Das spricht alles eher für Spionage und Industriespionage und für Einsätze, die ich als typisch für den Kalten Cyberwar angesehen habe (12).

Der FinFisher ist eine Spionage-Software, die von der Firma GammaGroup vertrieben wird (13). Er ist vor allem in Bahrain aufgefallen (14) und seine C & C-Server (oder Proxies) melden sich aus Äthiopien, Australien, Dubai, Estland, Indonesien, Katar, Lettland, der Mongolei, Tschechien und den USA mit den freundlichen Worten: "Hallo Steffi!" (15).

Derweil wurde die Spieleschmiede Blizzard (World of Warcraft, Diablo, Starcraft) von Hackern angegriffen und User-Daten gestohlen. Ihre Zugangscodes sollen aber verschlüsselt gewesen sein, so dass sie nicht direkt zum Konten-Klau genutzt werden können (16). Jetzt wird vermutet, dass die Betroffenen alsbald Nachricht bekommen mit der Aufforderung, sie mögen - rein aus Sicherheitsgründen - ihr Passwort mitteilen.

(1) Stefan Beiersmann, Flame-Nachfolger: Kaspersky warnt vor Cyberspionage-Tool “Gauss”, ZDNet 10.08.2012

(2) Funktionsschema von "Gauss" - der urspüngliche Angriffsvektor ist noch nicht bekannt, Computerwoche 09.08.2012

(3) Staatlicher Cyberangriff auf Bankkunden im Nahen Osten, Computerwoche 09.08.2012

(4) Banking-Trojaner "Gauss" vermutlich mit staatlichem Auftrag, Heise online 09.08.2012

(5) Font-Installation durch Gauss-Trojaner wirft Fragen auf, Heise online 10.08.2012

(6) Stuxnet

(7) Virus Duqu alarmiert IT-Sicherheitsexperten, Zeit online 19.10.2011;
W32.Duqu. The precursor to the next Stuxnet, Symantec 23.11.2011.

(8) Flame: Virenforschern geht Super-Spion ins Netz, Heise online 29.05.2012;
Konrad Lischka, Christian Stöcker, Computervirus Flame Anatomie eines Hightech-Schädlings, Spiegel online 29.05.2012

(9) Flame und Stuxnet, 16.06.2012

(10) Siehe auch (5).

(11) Stuxnet (Update), 15.02.2011

(12) Kommunikationstechnik und Cyberwar, 27.06.2010

(13) GammaGroup; FinFisher.

(14) Trojaner "made in Germany" spioniert in Bahrain, Heise online 26.07.2012

(15) Hallo Steffi! Deutsche Spyware-Entwickler versuchen sich an Humor, Heise online 09.08.2012

(16) Panagiotis Kolokythas, Blizzard meldet schweren Hacker-Angriff, PC-Welt 10.08.2012