Analysiert wurden die Trojaner vom russischen Security-Dienstleister Kaspersky Labs. Dessen Forscher haben die Malware inzwischen auf Rechnern aus über 30 Ländern gefunden. Die höchsten Infektionsraten scheint es dabei im Iran, in Russland, Pakistan, Afghanistan, China, Mali, Syrien, dem Jemen und Algerien zu geben. Die fraglichen Systeme stammten aus staatlichen Behörden, dem Militär, Telekommunikations-Unternehmen, Banken und verschiedenen anderen Unternehmen.
Mit konkreten Vorwürfen hinsichtlich der Herkunft der Spionage-Software hält man sich bei Kaspersky zurück. Allerdings erklärte man durchaus, dass es enge Verbindungen zu Stuxnet gebe, der Malware, mit der vor einiger Zeit gezielt das iranische Atomprogramm angegriffen wurde. Bei dieser gilt die NSA als einer der Urheber aufgrund vieler Indizien als sicher.
Quellen bestätigen NSA-Verbindung
Gegenüber der Nachrichtenagentur Reuters bestätigte auch ein ehemaliger NSA-Mitarbeiter, dass die Analysen der russischen Firma zutreffend seien. Demnach habe man der Malware bei dem Geheimdienst eine ebenso hohe Bedeutung beigemessen wie Stuxnet. Auch eine zweite Quelle bestätigte, dass bei der NSA eine entsprechende Software entwickelt worden sei.
Gefunden wurde die Spionage-Software quasi in Festplatten aller gängigen Hersteller. Hier verankert sie sich in der Firmware, was die Entdeckung ziemlich schwierig macht - denn kaum ein Sicherheits-Scanner prüft regelmäßig die Steuerungs-Algorithmen der angeschlossenen Komponenten. Und auch wenn es einen Verdacht auf das Vorhandensein einer Malware gibt - etwa weil ungewöhnliche Datenübertragungen entdeckt werden - ist der Schädling auch dann noch vorhanden, wenn der jeweilige Rechner von Grund auf neu aufgesetzt wird.
Unklar ist derzeit noch der genaue Weg, auf dem die Infektionen zustande kamen. Zumindest gilt es als halbwegs gesichert, dass die Malware nicht ab Werk auf den Festplatten war, sondern später installiert wurde. Dies wäre auch notwendig, um halbwegs gezielt bestimmte Organisationen ausspionieren zu können.