Bei dem Trojaner handle es sich um eine spezielle Anpassung des Schadprogramms Flame (das an Stuxnet erinnert), sagte Kaspersky-Chefanalyst Magnus Kalkuhl der Nachrichtenagentur dpa. Flame wurde im Mai von Kaspersky entdeckt und nach Informationen der «Washington Post» von den USA und Israel entwickelt. Gauss sei aber kleiner und nicht ganz so komplex und vielfältig einsetzbar wie der im Mai entdeckte Schädling Flame. Seine Entwickler richteten ihr Augenmerk besonders auf die Tarnung des Trojaners.

Der Online-Banking-Trojaner mit der Bezeichnung Gauss leitet im Unterschied zu den bekannten Werkzeugen von kriminellen Internetbetrügern keine Bankgeschäfte zum Schaden der Nutzer ein, sondern späht aus, welche Banktransaktionen vorgenommen werden. Im Libanon seien im Juni und Juli rund 2500 Infektionen von PCs registriert worden, darunter mehr als 1600 im Libanon, 480 in Israel und 260 in den palästinensischen Gebieten, sagte Kalkuhl. In der Türkei und Syrien sei es nur vereinzelt Rechner von Gauss befallen gewesen.

Namensgeber ist deutscher Mathematiker Carl Friedrich Gauss

Der Name des deutschen Mathematikers Carl Friedrich Gauss (1777-1855) sei im Code der Hauptkomponente des Trojaners gefunden worden, erklärte Kalkuhl. Die Schadsoftware infiziert nach seinen Angaben Windows-Computer und USB-Sticks und überträgt die ausgespähten Daten zu einem nicht näher bezeichneten Server. Nach 30 Einsätzen zerstört sich Gauss selbst und ist dann nicht mehr sichtbar.

Laut Kaspersky handelt es sich beim Gauss-Trojaner um den ersten Fall eines staatlich eingesetzten Online-Banking-Trojaners. Gauss wurde offenbar im Rahmen weiterer Untersuchungen zu Flame gefunden. Die Architektur und Struktur der Module sowie Code-Basis und Kommunikationsformen sollen in vielen Punkten mit Flame vergleichbar sein. Kaspersky ist momentan im Auftrag der International Telecommunication Union (ITU) damit beschäftigt, die von Cyber-Waffen ausgehenden Risiken zu untersuchen, um so zu einer «friedvollen Ausrichtung» des Internet beizutragen.

Die Gründe für den Einsatz von Gauss seien nicht bekannt, sagte der Kaspersky-Sprecher. «Wir haben nur die Fakten, wir spekulieren nicht über das Warum.» Das Kaspersky-Team sei aber überrascht, so bald eine neue Schadsoftware mit staatlichem Hintergrund zu entdecken. Es sei zu befürchten, dass es weitere Kapitel in dieser Geschichte geben werde. «Da sollte etwas getan werden», sagte der Experte. Nötig sei eine internationale Diskussion, vielleicht auf Ebene der Vereinten Nationen. «Das geschieht aber nicht.»

Das macht «Gauss» konkret im Nahen Osten

Aus der Untersuchung ergaben sich Hinweise, dass Gauss etwa seit September 2011 aktiv ist, entdeckt wurde die Schadsoftware im Juni 2012. Die Kontakt-Server von Gauss wurden im Juli 2012 kurz nach ihrer Entdeckung deaktiviert. Damit befinden sich die noch im Umlauf befindlichen Schädlinge in einer Art Schlafmodus, da von den Servern keine neuen Anweisungen mehr zu den infizierten Computern durchdringen.

Seit Ende Mai 2012 wurden offenbar mehr als 2500 Infektionen vom cloud-basierten Sicherheitssystem von Kaspersky aufgezeichnet. Damit könnten die von Gauss infizierten Opfer nach einer Prognose in die Zehntausende gehen. Die Zahl der Infektionen liegt wohl unter jener von Stuxnet, jedoch anscheinend über der Zahl der Attacken durch Flame und Duqu.

Gauss klaut von den infizierten PCs beispielsweise die Browser-Historie, Cookies, Passwörter und Systemeinstellungen. Der Schädling kann auch Zugangsdaten zum Online-Banking sowie zu weiteren Zahlungsarten stehlen.

Der Trojaner Gauss wurde offenbar so programmiert, dass speziell Daten im Zusammenhang mit mehreren libanesischen Banken (darunter Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank und Credit Libanais) entwendet werden konnten. Darüber hinaus waren wohl auch Citibank- und PayPal-Kunden Ziel der Attacken.

(Alexander Kuch/teltarif.ch)