c't 3003: Die gefährlichste Malware aller Zeiten

Malware, egal ob Virus, Wurm oder Trojaner sind für PC-Benutzer seit langer Zeit eine echte Gefahr. Dabei haben sich die Schadprogramme im Laufe der Jahre stark verändert. Während früher eher einfache Programme von einzelnen Personen Schaden angerichtet haben, sind es heute organisierte Kriminelle oder staatliche Angreifer, die in Systeme eindringen.

Transkript des Videos

(Hinweis: Es handelt sich hier um einen Bonusinhalt für Menschen, die das Video oben nicht schauen können oder wollen. Die Informationen auf der Bildspur gibt das Transkript nicht wieder.)

Guckt mal hier: Dieser alte Samsung-Laptop aus dem Jahr 2008 ist mehr wert, als ihr jetzt vielleicht denkt. Er wurde 2019 versteigert und jetzt ratet mal, wie viel Geld der Künstler Guo O Dong dafür bekommen hat? Richtig. 1,345 Millionen US-Dollar. Den Betrag hat eine nicht näher bekannte Person für diesen Laptop bezahlt. Und das natürlich nicht, um damit zu arbeiten oder weil das Teil so schön aussieht. Sondern weil der chinesische Künstler darauf sechs der historisch wichtigsten Computer-Malware-Programme geladen hat. Eigentlich ist der Handel mit solcher Schadsoftware in den USA verboten. Für die Auktion in New York gab es aber eine Ausnahme – weil Kunst. Trotzdem: Die Malware, die auf dem Computer installiert ist, hat im Laufe der Zeit einen unglaublich hohen Schaden angerichtet.

Und das ist doch ein guter Grund, sich mal genauer anzuschauen, warum Malware eigentlich so gefährlich ist und welche Unterschiede es zwischen den Schadprogrammen aus dem Jahr 2000 und aktueller Schadsoftware so gibt. Was war und was ist die Motivation, Leute mit Malware nicht nur zu ärgern, sondern auch Milliarden Euro an wirtschaftlichem Schaden zu verursachen? Und: Wie funktioniert eigentlich der Handel mit Malware? Bleibt dran.

Liebe Hackerinnen, liebe Internetsurfer, herzlich Willkommen hier bei…

Also eines vorweg: In der Fachsprache unterscheidet man bei Schadsoftware zwischen dem Computer-VIRUS, dem WURM und dem trojanischen Pferd oder Trojaner. Auch wenn umgangssprachlich eigentlich fast immer von einem Virus gesprochen wird. Das alles lässt sich aber unter dem Sammelbegriff Malware oder Schadsoftware zusammenfassen.

Die erste bekannte Schadsoftware für Computer ist älter als ich. Anfang der 70er Jahre hat sich ein Computerwurm namens “Creeper” im Internet-Vorgänger Arpanet verbreitet. Bis dahin war Malware nur ein theoretisches Konzept und hat vor allem in der Science-Fiktion-Literatur stattgefunden. Und ja, dann kam Bob Thomas, ein Entwickler, der am Vorgänger des Internets mitgearbeitet hat und hat mit “Creeper” ein Programm geschrieben, das sich selbstständig innerhalb eines Netzwerks verbreitet hat. Creeper hat zwar keine Dateien gelöscht, dafür aber infizierte Computer mit einer Textnachricht auf dem Bildschirm kurzzeitig lahmgelegt. Mit Creeper hat das Zeitalter der Malware begonnen. Und diese Viren, Würmer und Trojaner wurden mit der Zeit immer gefährlicher und wirtschaftlich gesehen teurer. Alleine der erste Wurm, der auf dem versteigerten Notebook war, hat einen wirtschaftlichen Schaden von bis zu 15 Milliarden US-Dollar angerichtet.

Und dieser Wurm hatte den Namen ILOVEYOU oder auch LOVEBUG. Er hat sich im Mai 2000 explosionsartig verbreitet und war damit der erste Computerwurm, der so richtig für Aufsehen gesorgt hat. Einfach gesagt, hat er sich das menschliche Bedürfnis nach Liebe zunutze gemacht und den Opfern in einer E-Mail einen Liebesbrief versprochen. Das Ganze sah, auch der Zeit entsprechend, noch recht simpel aus. In der Betreffzeile stand einfach ILOVEYOU und der Text war eine einfache Aufforderung, den angehängten Liebesbrief zu öffnen. Und das war Experten zufolge wohl viel entscheidender als die Qualität des Quellcodes, der eigentlich nichts Besonderes war.

Damit gilt ILOVEYOU auch als die erste flächendeckende Verwendung von Social-Engineering. Insgesamt waren wohl 45 Millionen Menschen weltweit von diesem Wurm betroffen. Dabei war ILOVEYOU eine der ersten Malware, die sich über das Öffnen eines E-Mail-Anhangs verbreitet hat. Dieser Anhang hat auf dem PC des Opfers dann ein Skript ausgeführt. Hat man sich den Wurm eingefangen, hat er alle Dateien auf dem Computer überschrieben und mit einer Kopie von sich selbst ersetzt. Außerdem hat er allen Kontakten über Outlook eine E-Mail mit einem weiteren Liebesbrief gesendet. Und so hat sich der Wurm immer weiterverbreitet und dabei insgesamt einen Schaden zwischen 10 und 15 Milliarden US-Dollar angerichtet.

Der Schaden war vor allem deswegen so hoch, weil durch die immer größere Menge an E-Mails schnell viele Mail-Server überlastet waren. Und weil der Wurm nachträglich einen Trojaner installiert hat, der sich beim Öffnen des Internet Explorer sensible Daten wie Passwörter per Mail gesendet hat. Betroffen waren nicht nur viele Privatnutzer, sondern auch das Pentagon, das britische Parlament, oder die CIA. Der Urheber des ILOVEYOU-Wurms war der philippinische Informatikstudent Onel de Guzmán. Er konnte aber nicht angeklagt werden, da das Programmieren und Verbreiten von Malware damals auf den Philippinen noch keine Straftat war. Wurde es aber direkt danach.

Vier Jahre später, 2004, wurde der Computerwurm MyDoom erstmals entdeckt. Experten zufolge handelte es sich bei MyDoom um den größten Malware-Ausbruch seiner Zeit. Es ist natürlich schwer genau zu beziffern, wie sich der Virus genau ausgewirkt hat, aber es gibt immer Auswertungen von Antivirenfirmen, die sehen wie viel Malware sie gefiltert haben. Die Antivirenfirma F-Secure hat damals von bis zu 30 Prozent aller Mails gesprochen, die mit MyDoom verseucht waren. Und dadurch waren viele E-Mail-Postfächer schnell voll und haben nicht mehr funktioniert. Und das lag auch an der Effizienz, die der Wurm an den Tag gelegt hat. Verschickt wurde er in E-Mails mit dem Betreff “Error”, oder “Delivery failed”. Der Stil dieser Mails hat damals selbst erfahrene Nutzer dazu gebracht, auf den Wurm reinzufallen.

Wenn Nutzer dann die angehängte .exe Datei angeklickt haben, hat sich der Wurm auf dem Windows-PC eingenistet, indem er sich in der Windows-Registry verankert hat. Dann hat er auf dem PC nach allen verfügbaren E-Mail-Adressen gesucht, um sich dann selbst weiterzusenden. Dazu hat er extra einen einfachen Mail-Server auf dem befallenen Computer installiert. Gleichzeitig hat der Wurm eine Backdoor auf dem PC der Opfer eingerichtet. Darüber war es möglich, den PC aus der Ferne zu steuern und etwa für einen DDoS-Angriff zu nutzen. Und genau das haben sie auch einige Tage später gemacht. Am 1. Februar 2004 wurden die Server des Softwareunternehmens SCO massiv überlastet, sodass die Webseite nicht mehr erreichbar war. Das haben die Kriminellen geschafft, indem sie die verschiedenen infizierten Computer gleichzeitig auf die Webseite der Firma haben zugreifen lassen.

Aber das wirklich perfide an diesen Würmern ist, dass der betroffene Nutzer ohne ein Anti-Viren-Programm nicht mal bemerkt hätte, dass sein eigener PC gerade massenhaft Mails verschickt und an einem Angriff beteiligt ist. Besonders effektiv ist MyDoom offensichtlich auch, weil er wohl noch heute aktiv ist. Laut Palo Alto Networks, einem Anbieter von Cyber-Sicherheitsprodukten, befand sich MyDoom 2019 noch in etwa ein Prozent aller Mails mit Malware, die von ihnen überprüft wurden. Und das fast 20 Jahre später.

Aber auch die nächste Schadsoftware hat eine steile “Karriere” hinter sich. Angefangen hat die berüchtigte Malware Emotet im Jahr 2014 mal als Trojaner, der Kundendaten von deutschen und österreichischen Banken über den Browser abgefangen hat. Und ist dann zu einer der größten Trojaner-Gefahren der aktuellen Zeit geworden. Besonders gefährlich ist Emotet, weil es durch sogenanntes “Outlook-Harvesting” in der Lage ist, sehr echt wirkende Spam-E-Mails zu versenden. Emotet liest Kontaktbeziehungen und E-Mail-Inhalte aus. Und so erhalten Empfänger fingierte E-Mails von Absendern, mit denen sie wirklich erst kürzlich in Kontakt standen. Und auch der Inhalt der E-Mails sieht nicht wie klassischer Spam aus, sondern bezieht sich auf einen echten Dialog. Diese Technik nennt sich “Spear-Phishing”. Es geht dabei darum, dass man nicht einfach nur eine Spam-Mail schreibt, die superschnell als solche zu erkennen ist. Die Nutzerin oder der Nutzer wird im Vorfeld ausspioniert und bekommt dann eine individuell zugeschnittene Mail mit dem Schadprogramm als Anhang. Emotet hat diese Technik sozusagen auf Massenbasis gebracht.

Auch meine Kollegen hier bei Heise hat Emotet schon getroffen. Und das ging damals super schnell. Es hat ein E-Mail-Anhang auf einem Windows-Rechner gereicht und schon war das Netzwerk infiziert. Wie genau Heise von Emotet betroffen war, seht ihr übrigens in diesem Video von meinen Kollegen bei heise online.

Nach dem Ausbreiten hat Emotet dann weitere Schadsoftware heruntergeladen. Emotet bietet anderen Cyber-Kriminellen nämlich an, ihre Schadsoftware auf den gehackten PCs zu installieren. Und das kann für betroffene Opfer dann richtig schmerzhaft werden. Denn während Emotet vor allem das Ziel verfolgt, möglichst viele PCs zu befallen und sich in Netzwerken auszubreiten, haben andere Programme oft das Ziel, die Daten oder Passwörter von Nutzern zu stehlen und sie dann zu erpressen.

Eine der Lücken, die Emotet verwendet, nennt sich EternalBlue. Das ist ein Exploit den die NSA gefunden hatte und jahrelang für sich selbst benutzt hat, ehe ihre Entdeckung von der Gruppe “The Shadow Brokers” geleakt wurde. Im Anschluss hat die NSA die Lücke an Microsoft gemeldet. Dabei hat Eternal Blue eine Schwachstelle im Netzwerk-Kommunikationsprotokoll Samba ausgenutzt. Das wurde schon 1983 entwickelt und sollte eigentlich dafür sorgen, dass Nutzer gemeinsam auf Dateien oder Drucker zugreifen können.

Wenn ihr jetzt bei solchen “professionellen” Malwares an irgendwelche super ausgestatteten Computer-Zentren aus einem Hollywood-Film denkt, dann guckt mal hier. Die ukrainische Polizei teilt hier auf YouTube immer wieder Videos, wie sie organisierte Malware-Kriminelle festnehmen. Hier zum Beispiel wurden zwei Menschen in der Ukraine festgenommen, die aus diesem Haus ein Emotet-Netzwerk betrieben haben sollen. Sieht jetzt irgendwie nicht so aus, wie man sich organisierte Kriminalität im großen Stil vorstellt. Denn laut der ukrainischen Polizei soll der Schaden mehr als 2,5 Milliarden US-Dollar betragen. Klar, da haben auch noch viele andere Kriminelle auf der ganzen Welt mitgemacht, aber trotzdem irgendwie anders, als man sich das vielleicht vorstellt.

Und da fragt man sich doch. Wie läuft das eigentlich genau ab? Also wie kommen diese Kriminellen eigentlich an die Malware. Und das frag ich jetzt mal meinen Kollegen Jürgen Schmidt von heise security. Sag mal, wie finden diese Kriminellen eigentlich die Sicherheitslücken?

Jürgen Schmidt: „Das ist mittlerweile erschreckend einfach geworden, weil es gibt ein ganzes Ökosystem im Untergrund, wo unheimlich viele Dienste "as a service" angeboten werden. Du kannst da sozusagen Ransomware mieten. Also du bekommst von einem Ransomware-as-a-Service-Anbieter einen Baukasten mit einem grafischen Frontend, wo du dir dann letztlich deine Malware zusammen klicken kannst. Du kannst dir einen Namen geben, du kannst dir eine Erpressermeldung da als Textdatei reinschmeißen, kannst diverse Parameter einstellen und dann spuckt dir das am Ende ein Programm aus. Das ist deine Malware. Und solche Dinge kann man im Internet für vergleichsweise wenig Geld mieten. Das heißt, man hat dann ein Abkommen mit dem eigentlichen Hersteller, diesem Ransomware-as-a-Service-Anbieter und der bekommt dann, je nachdem wie gut du als Kunde bist, irgendwas zwischen 30 und 80 Prozent deiner Einnahmen aus diesem Ransomware-Ding. Dafür nimmt er dir aber auch noch eine ganze Menge andere Sachen ab. Also diese ganze Geschichte mit Management, der Schlüssel für die Verschlüsselung, das Krypto-Zeug, die Infrastruktur für das Geldwaschen und so weiter, Alldienst ist dann sehr häufig in diesen Paketen mit drin. Das heißt, das ist für 08/15-Kriminelle, die sich überlegen, dass ihnen das mit dem Verkauf von Drogen oder Waffenschieberei oder andere Sachen zu riskant geworden sind und die jetzt auf die Idee kommen, wir probieren mal Ransomware, das ist ja der neue heiße Scheiß. Erschreckend einfach da auf diesen Zug aufzuspringen und sich da die entsprechenden Tools im Internet zu besorgen.“

Keno: „Aber wenn das so einfach ist, wieso gehen dann die Ermittlungsbehörden, also zum Beispiel die aus der Ukraine, wie in dem Video gerade, nicht einfach dagegen vor? Sind die sich gar nicht bewusst, was da abgeht?“

Jürgen Schmidt: „Die sind sich dessen bewusst und im Rahmen ihrer Möglichkeiten gehen die auch dagegen vor. Aber natürlich reicht das im Moment bei Weitem nicht aus. Also das Ganze ist tatsächlich eine essenzielle, existenzielle Gefahr, Bedrohung für so gut wie alle Unternehmen. Aus Sicht der Kriminellen ist das ein Goldesel, wo sie mit vergleichsweise geringem Risiko eine Menge Geld machen können. Und die Abschreckung, dass da eben Leute erwischt und tatsächlich nicht nur verhaftet, sondern dann auch verurteilt werden, ist vergleichsweise gering, was eben auch damit zu tun hat, dass das eine internationale Geschichte ist. Das heißt, man muss da eben zum Teil dann Spuren verfolgen, die ins Ausland zeigen. Nicht selten sind diese Banden eben irgendwo in Osteuropa ansässig. Zum Beispiel gibt es also tatsächlich einen Hotspot in Russland, wo die entsprechenden Täter zum Teil sogar bekannt sind, aber keine Strafverfolgung durch die Behörden zu befürchten haben.“

Okay, danke Jürgen. Bei der nächsten Malware aus diesem Video führt die Spur nach Russland. Und dieser Trojaner legt nochmal eine Schippe drauf. Aber von Anfang an. Unter dem Namen Petya ging 2017 zunächst eine vermeintlich neue Form eines bereits bekannten Erpressungstrojaners um den halben Globus. Nur war dieser Erpressungstrojaner eigentlich gar keiner. Denn während am Anfang alle dachten, es würde sich um eine neuere Version des bereits bekannten Trojaner Petya handeln, stellte sich schnell heraus, dass es sich wohl um eine politisch motivierte Cyberattacke handeln würde. Deswegen trägt dieser Trojaner auch den Namen NotPetya.

Das eigentliche Ziel der Angreifer war nämlich möglichst viel Chaos anrichten. Und zwar Chaos bei allen Unternehmen, die mit der Ukraine geschäftliche Beziehungen haben. Und deswegen haben die Angreifer eine Schwachstelle in der ukrainischen Steuersoftware MeDoc verwendet. Das heißt, dass jedes Unternehmen, das in der Ukraine Steuern zahlt, auch von dem Angriff betroffen war. Der Trojaner hat dann auf allen befallenen Computern die Festplatten gelöscht und so dafür gesorgt, dass ein Großteil der Computersysteme nicht mehr benutzbar war. Und deswegen gilt NotPetya auch als die wohl bisher kostspieligste Cyberattacke überhaupt. Konservative Schätzungen gehen schon von einem Schaden von mindestens 10 Milliarden US-Dollar aus. Achso, und weil ich am Anfang gesagt habe, dass die Spuren nach Russland führen. Also es ist nicht bewiesen, aber die CIA und andere Geheimdienste glauben, dass hinter dem Angriff Russland steckt.

Okay, fassen wir nochmal zusammen. Malware gibt es quasi schon seit fünf Jahrzehnten, aber so richtig heftig wurde das in den letzten 20 Jahren. Und die Schadprogramme, über die ich gerade geredet habe, sind wirklich nur ein kleiner Teil von dem, was in den letzten zwei Jahrzehnten so durchs Netz ging. Und die Motive dafür haben sich in der Zeit krass verändert. Während am Anfang vor allem noch verkannte Nerds einfache Programme geschrieben haben und sie es einfach faszinierend fanden, wie diese Programme sich selbst weiterverbreiteten und es gar nicht darum ging Schaden anzurichten, hat irgendwann die organisierte Kriminalität das Thema Malware für sich entdeckt und mit Schadsoftware wie Emotet richtig viel Geld vernichtet. Und dass Malware und Sicherheitslücken quasi schon von Anbeginn auch Teil von staatlichen Angriffen waren, ist eigentlich schon wieder ein Thema für sich. Viele Techniken, die heute im Cybercrime üblich sind, waren vor fünf Jahren noch Anzeichen für Angriffe durch staatliche Organisationen.

EternalBlue zum Beispiel wurde ja fünf Jahre von der NSA benutzt, bevor sie von der organisierten Kriminalität verwendet wurde. Und das könnte in Zukunft noch deutlich zunehmen. Also hoffen wir mal, dass sich vor allem die Sicherheitsaspekte von modernen Computersystemen in den nächsten Jahren noch weiter verbessern. Denn jeder flächendeckende Angriff ist nicht nur teuer für die Betroffenen, sondern mittlerweile auch wirklich eine Gefahr für die öffentliche Sicherheit. Schließlich ist ja mittlerweile so gut wie alles miteinander vernetzt. Für eure Sicherheit könnt ihr euch mal überlegen, Linux zu benutzen statt Windows oder MacOS, weil ist klar Windows ist das populärste Betriebssystem, deshalb wird auch die meiste Malware dafür entwickelt. Und allgemein gilt natürlich nicht auf unbekannte E-Mail-Anhänge oder Links klicken, dafür könnt ihr aber gerne auf den Abo-Button klicken, wenn ihr wollt. Tschüss!

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(rum)