Trojaner bei '20 Minuten' nicht über Werbung eingeschleust

Gestern Nachmittag wurde bekannt, dass die Website von '20 Minuten' mit einem Trojaner infiziert worden war. Unter anderem Swisscom, SRG und die Bundesverwaltung haben deshalb für ihre Mitarbeiter den Zugang zu '20min.ch' vorübergehend gesperrt.
 
Die Melde- und Analysestelle Informationssicherung des Bundes Melani war bereits am Mittwoch auf ein Problem aufmerksam geworden, nachdem in der Bundesverwaltung verschiedene versuchte Infektionen festgestellt worden waren. Tamedia war gestern von Melani über den Angriff informiert worden, wie Sprecher Christoph Zimmer gegenüber der Nachrichtenagentur SDA sagte.
 
Tamedia entwarnt zu früh
Am Donnerstag Nachmittag gab Tamedia Entwarnung. "Wir haben die Malware in unserem System gefunden und gelöscht. Damit ist sichergestellt, dass von unseren News-Servern keine Gefahr ausgeht", zitiert SDA den Tamedia-Sprecher weiter. Dies war jedoch nicht der Fall. "Die schädliche Software auf '20minuten.ch' wurde erst heute Freitagmorgen um etwa 10:15 Uhr gelöscht. Die Software war am Donnerstagabend im System von 20 Minuten identifiziert worden, wurde jedoch aufgrund eines menschlichen Versagens nicht sofort gelöscht", wie es in einer Mitteilung des Verlags heisst.
 
"Wären wir gestern Abend nicht davon ausgegangen, den Code gelöscht zu haben, hätten wir die Webseite offline genommen. Tamedia bedauert diesen Fehler zutiefst und entschuldigt sich bei allen Leserinnen und Lesern für die falsche Information", schreibt Tamedia auf Anfrage von inside-it.ch.
 
Wie Pascal Lamia, Chef der Melde- und Analysestelle Informationssicherung Melani, zu inside-it.ch sagt, begrüsse man die transparente Kommunikation von Tamedia. Man habe heute in einer Lageeinschätzung erkannt, dass die Schadsoftware noch nicht gänzlich von '20min.ch' entfernt war. "Es ist fair von Tamedia, die Nutzer nochmals zu informieren", so Lamia.
 
Ursache war eine verseuchte Flash-Datei, die im Hintergrund ein kompromittiertes Java-Script ausführte, schreibt '20 Minuten' heute. Beim Schadprogramm handelt es sich um den E-Banking-Trojaner "Gozi". Wie Tamedia weiter mitteilt, werde die über '20 Minuten' verbreitete Gozi-Variante derzeit unter anderem in Zusammenarbeit mit Kaspersky Lab untersucht. Es gebe weiterhin keine Hinweise darauf, dass auch 'Tagesanzeiger.ch' oder andere Tamedia-Angebote betroffen waren. Zudem seien im Verlauf der Nacht zusätzliche Sicherheitsvorkehrungen ergriffen worden, durch die nun jegliche möglicherweise kritische Veränderung am System manuell überwacht werde.
 
'20 Minuten' setzt keine Flash-Werbung mehr ein, erklärt uns Tamedia auf Anfrage. "Der Flash-Code wurde jedoch nicht über Flash-Werbung, sondern über einen Angriff direkt in unserem System platziert". Dies bestätigt auch Melani-Chef Pascal Lamia. Wer hinter dem Angriff steckt ist noch nicht bekannt.

Gozi ist fast zehn Jahre alt
Der E-Banking-Trojaner Gozi ist in unterschiedlichen Varianten schon seit längerem aktiv und wurde Dell Secure Works zufolge 2007 erstmals entdeckt. Laut 'Heise Security' wurde Gozi 2005 programmiert und konstant weiterentwickelt. Besonders aktiv war er zwischen Herbst 2012 und Anfang 2013. Damals infizierte der Bankentrojaner Gozi gemäss 'Security Intelligence' weltweit über eine Million Computer und verursachte Schäden im achtstelligen. 2010 wurde einer der Verantwortlichen festgenommen, der sich schuldig bekannte. 2012 folgen zwei weitere Verhaftungen. Die Malware selbst wütet weiter.
 
In der Schweiz aktiv
Nach dem Angriff auf '20 Minuten' seien noch keine Unregelmässigkeiten auf Bankkonten festgestellt worden, so Lamia gegenüber SDA. Wie CERT des Bundes heute schreibt, ist der Angriff auf '20 Minuten' einer von mehreren Angriffen mit Gozi. Genauer gesagt handelt es sich um den Trojaner Gozi ISFB, der mindestens seit Frühling 2015 in der Schweiz im Umlauf ist. Demnach sind in der Schweiz tausende von Computern mit Gozi ISFB infiziert.
 
Die Gozi-Attacke ist nicht auf Privatnutzer beschränkt. Auch die Bankkonten von Schweizer KMU seien Ziel der Urheber. Nutzer rät Melani ihre Kontobewegungen genau zu überprüfen und sich bei verdächtigen Vorkommnissen sofort mit der Bank in Verbindung zu setzten.
 
Unternehmen wird geraten, ihre IT-Security zu überprüfen. Wie das CERT im September schrieb, gibt es global eine Reihe von aktiven Gozi-Kampagnen, die von verschiedenen Gruppen geführt werden und Banken in aller Welt zum Ziel haben. (Katharina Jochum)