Vorsicht vor falschen Rechnungen (Bild: kebox - Fotolia.com)

Neue Cyberwaffe: Trojaner Gauss

10. August 201226. Februar 2016 1 min read

Cyberwaffe Gauss richtet keinen Schaden an, aber spioniert (Bild: kebox – Fotolia.com)

Der Trojaner

Gauss als Waffe im Cyberkrieg – der deutsche Mathematiker hätte seinen Namen wohl nicht freiwillig hergegeben. Doch im Quellcode eines gefährlichen Trojaners wurde der Terminus entschlüsselt.

Diese Software stellt nach Stuxnet, Flame und Duqu die vierte Waffe im Cyberkrieg dar, der den Nahen Osten in Unruhe versetzt.

Unbemerkt nistet sich die Schadsoftware auf einem PC ein und sendet ausspionierte Daten an die kriminellen Urheber. Neben Passwörtern zu verschiedensten Anwendungen zählen hauptsächlich Bankdaten wie Transfers, Kontonummern, Zugangsdaten oder Empfänger zu den Spionagezielen. Ferner können auch genutzte Programme, Surfhistorien und eingegebene Formulardaten von Gauss erkannt und übermittelt werden.

Zudem versteckt der Trojaner Ableger auf angeschlossenen USB-Sticks. So können auch Verkettungen und andere Anwender infiziert werden. Nach 30 Tagen zerstört sich das Programm selbstständig. Sichtbare Reste bleiben keine. Die verschickten Pakete mit möglichem Spionagematerial konnten bislang nicht entschlüsselt werden, da sie nur in bestimmter Umgebung und nach unbekannter Methode ihren Inhalt preisgeben.

Gauss‘ Herkunft

Wo die Urheber des Trojaners sitzen oder von wo aus er entsendet wird, konnten die Sicherheitsspezialisten von Kaspersky noch nicht sagen. Auf dem Blog Securelist veröffentlichten sie am 9. August die Entdeckung und beschrieben sie als mit seinen Vorgängern verwandt.

Gauss arbeitet auf der gleichen Plattform wie Flame und Stuxnet. Letzteres hatte in der Vergangenheit im Iran mehrere Industrieanlagen lahmgelegt und sogar geschützte Uranzentrifugen in einer Aufbereitungsanlage angegriffen. Diese Programme sind die schädlichsten und mächtigsten, die bislang im Cyberkrieg Anwendung fanden.

Gauss selbst stellt keine Gefahr mehr dar

Kaspersky-Experte Witalij Kumluk erklärte, die Server, von denen der Virus seine Befehle empfangen habe, seien seit Mitte Juli offline. Die Plattform, auf deren Grundlage die Schädlinge arbeiteten, wurde Tilded getauft. Gauss war auf dessen Grundlage weiterentwickelt worden.

Da der Trojaner schon seit September 2011 aktiv war und bereits kurz nach der ersten Entdeckung (Mai 2012) abgeschaltet wurde, ist es möglich, dass weitere Entwicklungen im Gange sind. Fraglich ist, ob die Verbreitung auf den Raum Naher Osten beschränkt bleibt. Gauss war hauptsächlich im Libanon sowie vereinzelt in der Türkei und Syrien aufgetreten.