IS attackiert Kritiker gezielt per Malware

Davor warnt das Citizen Lab an der University of Toronto, das einen bei Aktivisten der Gruppe «Raqqa is being Slaughtered Silently» (RSS) gefundenen Schädling analysiert hat.

An RSS-Adresse geschickt

Der Spion übermittelt zwar einfach nur IP-Adressen, doch gerade in Syrien kann das schnell ausreichen, um realweltliche Standorte auszumachen. Es ist zwar nicht gesichert, dass wirklich der IS hinter dem Angriff steckt. Doch sprechen Machart und Timing des Angriffs laut dem Citizen Lab eher gegen das syrische Regime oder andere Kräfte als Urheber.

RSS-Aktivisten dokumentieren Menschenrechtsverletzungen durch die IS speziell im Bereich der Stadt ar-Raqqa (Rakka). Damit setzen sie ihr Leben aufs Spiel. Die nun analysierte Malware lässt befürchten, dass die Terrorgruppe sehr gezielt Jagd auf Kritiker macht. Denn der Schädling wurde im November 2014 mit einer E-Mail direkt an eine RSS-Adresse geschickt. Angeblich wollen Exilsyrer in Kanada Informationen zur Lage in Rakka den Medien zuspielen. Daher bitten sie um einen Facebook-Kontakt und die Prüfung diverser Daten. Doch die Datei, auf die dazu verlinkt wird, enthält neben legitim aussehenden Luftaufnahmen auch Malware.

Einfache Ortung möglich

Der Angriff sieht zwar kompliziert aus, da ein halbes Dutzend ausführbarer Dateien beteiligt ist. Doch letztlich stellt der Schädling nicht viel an. So ist ein Remote-Zugriff auf den infizierten PC, wie bei heutiger Malware praktisch schon Standard, nicht möglich. Das Programm verschickt nur die IP-Adresse des befallenen Rechners und ein paar Systeminformationen per E-Mail. Doch warnt das Citizen Lab, dass das allein für Aktivisten sehr gefährlich ist. Denn in und um Rakka gibt es nur sehr begrenzt Internetzugang. Es ist daher relativ leicht, über die IP-Adresse den Standort des Computers einzugrenzen - was sehr gezielte Anschläge erlauben würde.

Das Citizen Lab befasst sich ausgiebig mit Spionage-Software, die von Regierungen eingesetzt wird, wie beispielsweise das «Remote Control System». Daher ist man sich relativ sicher, dass der aktuelle Schädling nicht dem syrischen Regime zuzuschreiben ist. Denn deren Malware weist einige typische Merkmale auf, die bei dem E-Mail-Spion nicht zu finden sind. Zwar ist denkbar, dass eine unbekannte Drittpartei hinter dem Angriff steht. Doch das Citizen Lab betont, dass der relativ einfache Schädling genau das bietet, was der IS für die Jagd auf Kritiker in Rakka braucht. Die Terrororganisation rüstst also auch im Cyberspace auf.

(awe/pte)