DevilsTongue: Letzter Windows-Patchday schaltet Staatstrojaner aus

Mit den jüngsten Patches für die Windows-Plattform hat Microsoft auch eine bereits eingesetzte Malware aus­ge­schal­tet, die wahrscheinlich von einem klassischen Staats­tro­ja­ner-Hersteller in die Welt gebracht wurde. In der Security-Szene wird der Schadcode als "DevilsTongue" bezeichnet. Nach Analysen, die von Experten bei Microsoft und dem Citizen Lab durchgeführt wurden, stieß man auf über hundert Nutzer, die gezielt mit der Malware infiziert wurden. Es handelte sich um Politiker, Journalisten und Aktivisten aus aller Welt, es gab allerdings eine Häufung unter Palästinensern, was sich mit dem vermuteten Ursprung deckt.

Die Security-Fachleute führen den Ursprung auf eine Gruppe zurück, die als "Sourgum" bezeichnet wird. Microsoft und Citizen Lab wollen aber ziemlich sichere Indizien dafür gefunden haben, dass dahinter eigentlich das israelische Unternehmen Candiru steht, das man bereits als Hersteller von Staatstrojanern kennt.

Basis für Spionage

Die DevilsTongue-Malware sorgt in erster Linie dafür, dass sich Angreifer weitergehende Rechte auf einem System verschaffen können. Das ist dann die Grundlage dafür, weitergehende Spionage-Methoden zu starten - so können dann beispielsweise Daten ausgeleitet oder Messenger- und Videokonferenz-Sessions belauscht werden. Für die Verbreitung nutzt der Schadcode einen Exploit gegen eine Zero-Day-Lücke in Windows-Systemen.

Die zugrundeliegende Schwachstelle ist mit der letzten Patchday-Runde geschlossen worden. Wie Microsoft mitteilte, wirkt die Aktualisierung nicht nur gegen die weitere Ausbreitung der Malware. Sollte ein Rechner bereits infiziert sein, schaltet das Update den Schadcode auch aus. Die Redmonder haben außerdem ihre Defender Antivirus- und Defender for Endpoint-Engines auf das Spionage-Tool nachgeschärft.

"Das ist Bestandteil einer breiter angelegten juristischen, technischen und lobbyistischen Arbeit, mit der wir gegen die Gefahren vorgehen, die sich daraus ergeben, dass PSOAs Waffen bauen und vertreiben", hieß es von Seiten Microsofts. PSOAs steht für Private-State Offensive Actors, das sind vor allem privatwirtschaftlich organisierte Firmen, die im Grunde ausschließlich für staatliche Auftraggeber arbeiten und für deren Aktivitäten Malware entwickeln.

Siehe auch:
Internet, Sicherheit, Sicherheitslücke, Hacker, Security, Malware, Angriff, Hack, Trojaner, Virus, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Hackerangriff, System, Internetkriminalität, Hacken, Hacker Angriffe, Hacker Angriff, Attack, Ransom, Hacks, Gehackt, Schädling, Malware Warnung