[Kurz notiert] Malware-Kampagne ProjectSauron möglicherweise bereits seit 2001 aktiv

Die vor wenigen Wochen enthüllte Schadsoftware-Kampagne „ProjectSauron„, die aufgrund der Qualität und des Umfang wahrscheinlich staatlichen Ursprungs ist, wurde nun aufgrund weiterer Analysen auf sehr viel älter eingeschätzt als bislang angenommen:

Sauron appears to be the product of a long-lived, continually evolving, large-scale development. While the bulk of the code may be new, there are indications that a number of components—notably those protocols using RC5 and RC6—arose prior to 2001 while other pieces kept receiving enhancements. (..) Other components speak to an even older history. Various encryption libraries include the RC6 and RC5 encryption algorithms, which are sensible but still strangely obsolete choices. RC5 dates back to 1994 and RC6 succeeded it in 1998. There is no real reason to use RC5 after RC6’s definition. Furthermore, RC6 was a candidate for the AES standard, a federal standard for cryptography, and there was no sense using RC6 after 2001 when the AES standard group decided on Rijndael. Another component uses the Salsa20 stream cypher developed by Daniel Bernstein in 2005. Again, this is a probably good cypher, but overcome by a superior successor Bernstein developed in 2007, ChaCha20. Taken together, these aspects suggest older protocols. Even if you write new code, if you need it to interact with an older system, using an older cryptographic protocol, your new code will use the old algorithm.(Q: www.lawfareblog.com / lokale Kopie)

Darüber hinaus unterstreichen die neuen Analysen die Vermutung einer staatlichen Herkunft und vermuten die NSA als Urheber der Malware. Alle Details in der Datenbank relevanter Cybervorfälle.

Anmerkung: Die ist ein Beitrag aus der Reihe „Kurz notiert“. Eine kleine Erläuterung dazu gibt es hier.