Bundestrojaner in ELSTER-Software entdeckt

Chaos Computer Club (CCC) (zum 1.April) 01.04.2007 20:44
Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird.

Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr 2006/2007 in der Version 8.1.0.0 [1] für den Steuerbürger bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner [2] verbreitet wird.
Untersuchungen des Chaos Computer Clubs ergaben, dass der Bundestrojaner über die aktuelle Version der Elster-Software verbreitet wird.

Seit dem 19. März 2007 wird die aktuelle ELSTER-Software für das Jahr 2006/2007 in der Version 8.1.0.0 [1] für den Steuerbürger bereitgestellt. Schon von Anfang an hegten Experten Zweifel an der Integrität der 18 MB großen .exe-Datei. Nach einer mehrtägigen intensiven Analyse fand der Chaos Computer Club (CCC) nun deutliche Hinweise, dass über die fragwürdige Software der sog. Bundestrojaner [2] verbreitet wird.

Der Bundestrojaner, kürzlich als neues Werkzeug des Überwachungsstaates in die Schlagzeilen geraten, soll das Ausspähen der gesamten steuerpflichtigen Bevölkerung ermöglichen. Jeder Bürger mit eigenem Einkommen wird in Zukunft verpflichtet, die Steuererklärung mittels ELSTER-Software abzugeben. Dass es dem CCC nach wenigen Tagen gelang, den Trojaner ausfindig zu machen, spricht nicht eben für die Qualität der Spitzelsoftware.

Die Analyse zeigte verschiedene verdächtige Module, wie z. B. wte0104-brsjm.digit, das u. a. vorhandene Mikrofone und Kameras in modernen Computern einschalten kann. Weitere Routinen dienen der Durchsuchung der auf dem Rechner gespeicherten Dateien. Eine Funktion sendet Daten vom Benutzerrechner ferngesteuert an den BKA-Rechner mit der IP-Adresse 217.7.176.25 [3].

Der Trojaner tauscht offenbar auch einige Systemdateien aus, um sich unabhängig vom ELSTER-Programm auf dem System einzunisten. Die Schadsoftware erzwingt danach einen Neustart des Rechners. Auf dem Bildschirm des betroffenen Computers erscheint dazu die Fehlermeldung: "Systemfehler 70797976 - Neustart erforderlich."

Pikanterweise wird ein Port auf dem infizierten Rechner geöffnet, der es erlaubt, neue Suchbegriffe nachzuladen. Das ist insofern problematisch, da die Suchfunktion eine Schwachstelle enthält, die es einem Angreifer erlaubt, nicht nur Suchbegriffe, sondern beliebige Daten und ausführbaren Code auf dem Rechner zu platzieren. "Damit ist der unbemerkten Manipulation aller Daten Tür und Tor geöffnet," sagte CCC-Spezialexperte Jens-Thorben Janckiewozki.

Eine erste Ausnutzung dieser Nachladeschwachstelle wurde auch schon in der freien Wildbahn beobachtet. Ein schwer zu analysierender, auf Schwachstellen des Bundestrojaners aufsetzender Wurm dient wahrscheinlich dem Abf https://www.elster.de/angen von PIN- und TAN-Eingaben von Onlinebanking-Benutzern der Postbank. Auch erste Zusammenschlüsse von gekaperten Rechnern zu sogenannten Botnetzen wurden im Verlaufe des Samstags beobachtet. Der Chef des BSI hatte unlängst Botnetze als größte Gefahr im Internet ausgemacht.

Bisher war weder das BKA noch das Bundesinnenministerium für eine Stellungnahme zu erreichen. Unter der Hand gab ein Techniker des BKA jedoch zu, dass in den eigenen Reihen niemand den Trojaner programmiert hätte. Dafür mussten schon aus Kostengründen im Ausland Fachkräfte angeworben werden. Die großen Antivirenhersteller haben mittlerweile ebenfalls mit der Analyse begonnen und hoffen in den nächsten Tagen entsprechende Updates zu verbreiten.

[1]  https://www.elster.de/
[2]  http://de.wikipedia.org/wiki/Bundestrojaner
[3]  http://www.ripe.net/whois?searchtext=217.7.176.25
Creative Commons-Lizenzvertrag Dieser Inhalt ist unter einer
Creative Commons-Lizenz lizenziert.
Indymedia ist eine Veröffentlichungsplattform, auf der jede und jeder selbstverfasste Berichte publizieren kann. Eine Überprüfung der Inhalte und eine redaktionelle Bearbeitung der Beiträge finden nicht statt. Bei Anregungen und Fragen zu diesem Artikel wenden sie sich bitte direkt an die Verfasserin oder den Verfasser.
(Moderationskriterien von Indymedia Deutschland)

Ergänzungen

Meldung auch auf www.ccc.de

xyz 01.04.2007 - 22:14

erster april

egal 01.04.2007 - 22:25
ich glaube, hier wurde übersehen, dass heute der erste april ist.

dennoch erschreckend, wenn solch ein scherz es glaubhaft ist. das sagt sehr viel über die reputation des staates aus.

öffentliches Dementi

uhu 02.04.2007 - 01:42

Aufs entschiedenste möchten wir an dieser Stelle gegen die von Nachrichtenagenturen verbreitete Unterstellung protestieren, die Elster habe den Trojaner der Eule gestohlen. Wie aus gut unterrichteten Bundeskreisen berichtet wurde, kreiste der Geier während der gesamten Tatzeit über dem vermeintlichen Tatort und hätte demzufolge die sich nähernde Elster erkennen müssen. Da aber ausser einer Ente weit und breit kein Vogel in Sicht war, kann davon ausgegangen werden, daß die Kameras keine Verbindung zum Internet herstellen konten und dem zu Folge CCC-Port noch keine winzigweichen Fenster geöffnet hatte. Vorbeifliegende PINguine wiesen noch mit "dada" auf die merkwürdige Situation hin, als der Computer bereits die Elster startete und der Systemfehler verzweifelt vor dem TAN saß um den Sinn des Lebens zu verstehen.

Ich hoffe die wirklichen Ereignisse sind nun klarer

M. Arabu
Vogelschutzbeauftragte der
Unabhängigen Hoax Union (UHU)

Beiträge die keine inhaltliche Ergänzung darstellen

Zeige die folgenden 6 Kommentare an

bla — bla

Nix Aprilscherz — Eule

aba gut — tagmata

@EULE — Geier

Scherze — Eule