Erstes Rootkit in einem Telefon-Switch entdeckt

Zwar hat sich die Regierung in Athen bislang auf ein älteres Telefonsystem verlassen, dennoch scheint es sich bei der Abhöraffäre um eine waschechte Spionageaffäre zu handeln.  Die Untersuchung der Vorgänge brachte zudem das erste Rootkit für einen Telefonswitch zu Tage, wie das Institute of Electrical and Electronics Engineers (IEEE) auf seiner Webseite nun mitteilt.

Die genauen Hintergründe konnten bislang noch nicht aufgeklärt werden. Der angebliche Selbstmord eines für den Aufbau des Netzes verantwortlichen leitenden Ingenieurs der Vodafone Gruppe in Griechenland gibt weitere Rätsel auf.

Die Autoren des IEEE-Artikels, Diomidis Spinellis, Professor an der Universität für Wirtschaft in Athen, und Vassilis Prevelakis, Assistenz-Professor an der Drexel-Universität in Philadelphia, erklärten, dass dieser Fall das erste bekannte Rootkit für eine Telefonanlage enthalte.

Die Malware hatte sich vor dem Zugriff von Antivirenlösungen verborgen. Der Schad-Code hatte ein Transaktionslog deaktiviert und konnte daraufhin vier Switches des Herstellers Telefonaktiebolaget LM Ericsson überwachen, die Vodafone in die Infrastruktur eingebunden hatte. Damit konnten die Spione auf die gleiche Weise auf die Telefonate zugreifen, wie eine Strafverfolgungsbehörde, nur dass die Hacker dafür keine gerichtliche Genehmigung brauchten.

Die Software hatte einen zweiten Stream mit den Sprachnachriten an eine Überwachung weitergeleitet. Die Eindringlinge hatten auf dem System Patches installiert um nicht entdeckt zu werden, und leiteten verschiedene Überwachungsmechanismen um, über die die zuständigen Administratoren über die Abhöraktion gewarnt worden wären. Um die technischen Blockaden, die eigentlich nur über eine gerichtliche Bestätigung aufzuheben sind, so die beiden Autoren in ihrer Untersuchung, zu überwinden, seien viel Arglist und hohe Programmierkenntnisse nötig gewesen.

Der Hack flog im Januar 2005 auf, als die Spione ihren Schadcode aktualisieren wollten. Dabei trat eine Störung bei Textnachrichten auf. Bei den anschließenden Untersuchungen wurden die rund 6500 Code-Zeilen des Schadcodes entdeckt. “Diese Größe des Codes klopft man nicht einfach so am Wochenende zusammen”, erklärte Spinellis. Es sei dafür auch sehr großes Expertenwissen nötig.

Auch eine parlamentarische Untersuchung des Falls blieb bislang erfolglos. Das könne auch an der Tatsache liegen, dass wichtige Daten von Vodafone verloren oder zerstört wurden, wie die beiden Autoren kritisieren. Über eine statistische Analyse der Anrufe, so die Autoren weiter, hätte Vodafone den Betrug bereits früher aufdecken können. Inzwischen seien solche Analysen üblich, allerdings eher “aus Marketing” als aus Sicherheitsgründen.