Die Terrorgruppe Islamischer Staat (IS) setzt möglicherweise auf Malware, um Kritiker in Syrien aufzuspüren. Davor warnt das Citizen Lab an der University of Toronto, das einen bei Aktivisten der Gruppe «Raqqa is being Slaughtered Silently» (RSS) gefundenen Schädling analysiert hat.
Der Spion übermittelt zwar einfach nur IP-Adressen, doch gerade in Syrien kann das schnell ausreichen, um echte Standorte auszumachen. Es ist zwar nicht gesichert, dass wirklich der IS hinter dem Angriff steckt. Doch sprechen Machart und Timing des Angriffs laut dem Citizen Lab eher gegen das syrische Regime oder andere Kräfte als Urheber.
RSS-Aktivisten dokumentieren Menschenrechtsverletzungen durch den IS speziell im Bereich der Stadt ar-Raqqa (Rakka). Damit setzen sie ihr Leben aufs Spiel. Die nun analysierte Malware lässt befürchten, dass die Terrorgruppe sehr gezielt Jagd auf Kritiker macht. Denn der Schädling wurde im November 2014 mit einer E-Mail direkt an eine RSS-Adresse geschickt.
Angeblich wollen Exilsyrer in Kanada Informationen zur Lage in Rakka den Medien zuspielen. Daher bitten sie um einen Facebook-Kontakt und die Prüfung diverser Daten. Doch die Datei, auf die dazu verlinkt wird, enthält neben legitim aussehenden Luftaufnahmen auch Malware.
Der Angriff sieht zwar kompliziert aus, da ein halbes Dutzend ausführbarer Dateien beteiligt ist. Doch letztlich stellt der Schädling nicht viel an. So ist ein Remote-Zugriff auf den infizierten PC, wie bei heutiger Malware praktisch schon Standard, nicht möglich. Das Programm verschickt nur die IP-Adresse des befallenen Rechners und ein paar Systeminformationen per E-Mail.
Doch warnt das Citizen Lab, dass das für Aktivisten sehr gefährlich ist. Denn in und um Rakka gibt es nur sehr begrenzt Internetzugang. Es ist daher relativ leicht, über die IP-Adresse den Standort des Computers einzugrenzen - was sehr gezielte Anschläge erlauben würde.
Das Citizen Lab befasst sich ausgiebig mit Spionagesoftware, die von Regierungen eingesetzt wird. Daher ist man sich relativ sicher, dass der aktuelle Schädling nicht dem syrischen Regime zuzuschreiben ist. Denn deren Malware weist einige typische Merkmale auf, die bei dem E-Mail-Spion nicht zu finden sind.
Zwar ist denkbar, dass eine unbekannte Drittpartei hinter dem Angriff steht. Doch das Citizen Lab betont, dass der relativ einfache Schädling genau das bietet, was der IS für die Jagd auf Kritiker in Rakka braucht. Die Terrororganisation rüstet also auch im Cyberspace auf.