Wie haben sich die Spyware-Programme in den letzten Jahren entwickelt?

Die Spyware-Programme werden immer besser, aber auch die Gegenseite rüstet auf (Quelle: Bigstock-ID-60182279-by-Creativa)

Spyware-Programme implementieren Spionagesoftware, spy heißt auf Englisch Spion. Diese Programme können, müssen aber nicht unbedingt hochschädlich für den Rechner sein, denn die Werbeindustrie setzt sie ebenfalls ein. Das Ermitteln von PC-Standorten (IP-Adressen) und das Setzen von Cookies zum Zwecke der Werbung wird schließlich von seriösen Anbietern angekündigt und kann vom Nutzer auch verweigert werden. Dennoch ist Spyware nicht per se mit Malware oder Viren und Trojanern gleichzusetzen, obgleich sich die Grenzen oft verwischen. Als Unterscheidungsmerkmal gilt beispielsweise, dass Spyware nicht wie Viren automatisch von Rechner zu Rechner weiterverbreitet wird.

Wie funktionieren Spyware-Programme, was richten sie an?

Natürlich sind echte Spyware-Programme als schädliche, unerwünschte Software definiert, kein Computernutzer hat um sie gebeten. Diese Software installiert sich selbstständig auf dem Computer eines Nutzers, der weder den Vorgang aktiviert hat noch darüber benachrichtigt wurde. Nach der Infektion mit Spyware zeigt der Computer nicht in jedem Fall Symptome, nur manchmal sind bestimmte Einblendungen zu sehen, auch sinkt in einigen Fällen die Performance deutlich. Mit Spyware kann das Onlineverhalten überwacht werden, was manchmal sehr sensible Daten und sogar Bank-Passwörter betrifft.

Zu erkennen ist Spyware an den folgenden Symptomen:

  • Es sind neue Symbolleisten, Favoriten oder Links zu sehen, die dem Webbrowser nicht durch den Nutzer hinzugefügt wurden.
  • Das standardmäßig eingestellte Suchprogramm oder die Startseite, selbst der Mauszeiger können sich geändert haben.
  • Nach Eingabe einer Webadresse erfolgt eine unerwartete, unangekündigte Weiterleitung auf eine andere Seite.
  • Der Rechner wird langsamer.
  • Es taucht Popup-Werbung ohne Online-Verbindung auf.

Entwicklung der Spyware in den Jahren 2011 – 2014

Spyware-Programmierer nutzten bis etwa 2010 relativ simple Techniken, beispielsweise das Ändern von Dateianhängen, die so nicht auf den ersten Blick zu identifizieren waren. Selbst private Mailadressen konnten so missbraucht werden, wenn etwa Nutzer von ihrem Freund Max Mustermann nicht unter dessen wahrer E-Mail-Adresse maxmustermann@gmx.net, sondern unter maxmustermann@gmx.com angeschrieben wurden. Beim Verschicken von Spyware in den Anhängen scheinbar offizieller Mails – etwa von der Telekom oder von Behörden – traten so gravierende Rechtschreibfehler auf, auch stimmten die Anreden der Adressaten nicht, dass diese von selbst stutzig wurden. Nun warnt die Telekom im November 2014 davor, dass Cyberkriminelle ihre Taktik verfeinert haben und ihre Opfer inzwischen in täuschend echt wirkenden Mails korrekt ansprechen. Darüber hinaus haben die Spyware-Programmierer technisch gewaltig aufgerüstet:

  • Eigentumsverschlüsselungsalgorithmen der Spyware-Programme geben sich selbst als Threats oder Ableger in die Grundprozesse des Systems ein. Es handelt sich oft um .dll-Einfügungen mit einem Anhang, der die entsprechende .dll-Datei in laufende Prozesse einfügt, wo wiederum das Spyware-Programm ausgeführt wird.
  • Spyware verändert neuerdings Registry-Einträge bei Grundausführungen von Windows-Programmen. Windows glaubt dann fälschlicherweise, dass das Spyware-Programm nötig ist, um die Basisausführungen am Laufen zu halten. Windows erklärt die Spyware zu einer notwendigen Datei, das macht ihre Entfernung schwierig.
  • Jüngere Spyware ist in der Lage, Ausführungen auf der Festplatte zu ändern. Ein Schad-Code wird an den Anfang einer Datei platziert und läuft damit vor dem nützlichen Code dieser Ausführung.
  • Spyware-Entwickler verschlüsseln zunehmend ihre Algorithmen oder die Packer-UPX, FSG oder Aspack. Das macht frühere Entdeckungstechniken wirkungslos.

Die jüngsten (entdeckten) Spyware-Programme sind die bislang komplexesten überhaupt, jedoch rüstet die Gegenseite – also Software- und Virenschutzanbieter – mit Antitrojanercodes, polymorphischen Routinen und Antivireninstallationsprozeduren auf.

Jüngste Spyware-Attacken durch Behörden

Natürlich nutzen die Geheimdienste Spyware-Programme, um die Gegenseite auszuspionieren – bedauerlicherweise nicht nur den bösen Feind im Osten oder Nahen Osten, sondern auch die eigentlichen Verbündeten. Unrühmliche Vorreiter sind die NSA und der britische GCHQ. Sie nutzten in den vergangenen Jahren die Spionagesoftware “Regin” für einen massiven Cyberangriff auch auf EU-Behörden und das belgische Telekommunikationssystem Belgacom. Mobilfunk-Stationen wurden ebenfalls überwacht. Belgacom entdeckte den Angriff erst im Juli 2013. Die NSA und der GCHQ sind beileibe nicht die einzigen westlichen Geheimdienste, die Partnerländer ausspionieren, jedoch sind deren Attacken aufgeflogen. Prekär erscheint jedoch, dass gerade die Amerikaner und wohl auch die Briten die Kooperation mit Telekommunikationsdienstleistern offenbar im Geheimen erzwingen. Erst die Enthüllungen des ehemaligen NSA-Analysten Edward Snowden deckten die Dimension dieser Ausspähaktionen durch Spyware-Programme auf. Besonders prekär erschien den Belgacom-Ermittlern, dass sich die Spyware “Regin” in den internen Systemen des halbstaatlichen Telekommunikationsdienstleisters eingenistet habe, die vom öffentlichen Netz getrennt sind. Übrigens hatte die IT-Security-Firma Symantec (“Norton-Security”) auf den Angriff aufmerksam gemacht. Der Konkurrent Kaspersky hat sich inzwischen ebenfalls zu Wort gemeldet, er will schon im Frühjahr 2012 erste Hinweise auf Spyware bei Belgacom gefunden haben. Mit Jean Jacques Quisquater wurde selbst ein prominenter belgischer Verschlüsselungsexperte durch die Spyware angegriffen. Schon seit mindestens 2008 späht die Spyware Regin Mobilfunknetze aus, das fiel erst 2014 einem Provider auf, der die Basisprotokolldaten einer GSM-Station routinemäßig auswertete. Russische Sicherheitsexperten berichten in ihren Statements vom Herbst 2014, dass sie zwischen 2010 bis 2014 in 14 verschiedenen Ländern (darunter Deutschland) 27 hochrangige Opfer von Spyware-Attacken identifizieren konnten. Durch Spyware-Programme wurden Konzerne, Regierungseinrichtungen, internationale politische Gremien, Finanzunternehmen, Forschungsorganisationen und Einzelpersonen angegriffen.

Werden alle aktuellen Spyware-Programme entdeckt?

Wie schon erwähnt entdecken Firmen wie Symantec, McAfee oder Kaspersky (es gibt viele weitere Anbieter) durchaus auch sehr komplexe Spyware-Programme, wie sie die Geheimdienste einsetzen. Sie werden im Rahmen der Virenschutz-Software auf dem aktuellsten Stand gehalten. Nutzer können sich auch schützen, indem sie Java, Adobe Flash oder Active X eher selten zulassen, nicht auf an sich illegalen Seiten surfen wie etwa movie2k, die massiv mit Viren und Spyware verseucht sind, und auch keine Browser-Plugins herunterladen, welche angeblich nötig sind, um die entsprechenden Filme zu sehen. Auch Cookies sollten nur in Ausnahmefällen akzeptiert werden, um Spyware einzudämmen.

 

Bildquelle: Bigstock-ID: 60182279 by Creativa

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *