Technologie-Partner
Gold-Sponsor:
Donnerstag, 09.08.2012
Böse gute Spyware

Wurde ein "Staatstrojaner", der Regierungen und Polizeibehörden angeboten wird, nachgebaut? Oder unter der Hand weiterverkauft? Experten glauben, Kontrollserver auf fünf Kontinenten gefunden zu haben.
 
Vor rund einem Monat hat 'Bloomberg' in Zusammenarbeit mit dem Sicherheitsunternehmen Rapid 7 aufgedeckt, dass sehr wahrscheinlich ein kommerzielles Cyberspionagesystem namens "FinFisher", beziehungsweise die darin enthaltene Spyware "FinSpy", bei einem Versuch benutzt wurde, Oppositionelle in Bahrain auszuspionieren. Mittlerweile hat Rapid 7 weitere Untersuchungen angestellt und glaubt, sogenannte "Command&Control"-Server für die Spyware in zehn Ländern auf fünf Kontinenten gefunden zu haben: Indonesien, Australien, Katar, Äthiopien, Tschechien, Estland, USA, Mongolei, Lettland und Dubai.
 
Hat Rapid 7 recht, würde dies viele Fragen aufwerfen: Wurde FinFisher tatsächlich an Behörden in all diesen Ländern verlauft? Oder versuchen Polizeibehörden gar, ihre Spuren zu verwischen, indem sie C&C-Server in anderen Ländern installieren? Wurden Testversionen weitergegeben oder die Spyware als "Occasion" weiterverkauft? Oder haben sogar Cyberkriminelle FinFisher einfach "nachgebaut"? Claudio Guarnieri von Rapid 7 ist jedenfalls beunruhigt: "Wenn solche Malware einmal auf die 'freie Wildbahn' gelangt ist, ist es nur eine Frage der Zeit, bis sie auch für üble Zwecke verwendet wird."
 
"Hallo Steffi"
Allerdings scheint Guarnieri selbst etwas erstaunt und verwirrt darüber zu sein, wie einfach es war, diese angeblichen C&C-Server für FinSpy mit einem "Fingerprint" zu finden. Anscheinend quittieren die Server jede http-Anfrage auf einen der Ports, die zum Datenaustausch mit der Spyware verwendet werden, mit der Antwort "Hallo Steffi". Seltsam, aber perfekt für ein "Fingerprinting", so Guarnieri.
 
Das sei für eine solche professionelle Malware, die ansonsten ihre Spuren eigentlich sehr gut verwische, "ziemlich peinlich", findet Guarnieri. Ironischerweise interpretiert er dies als Indiz, dass die Software nicht von Cyberkriminellen nachgebaut wurde. Von solchen, scheint er damit zu implizieren, hätte er bessere Arbeit erwartet.
 
Hersteller weist Verdächtigungen zurück
Martin Muench, ein Vertreter der britisch-deutschen Gamma Group, die FinFisher herstellt, dementierte allerdings gegenüber 'Bloomberg', dass ein Scan einer Drittpartei überhaupt dazu in der Lage wäre, Kontrollserver für FinSpy zu finden.
 
Schon vor einem Monat hatte Muench verneint, dass FinFisher an Bahrain verkauft worden sei. Er betonte zudem, dass sich sein Unternehmen an die Exportregeln von Grossbritannien, der USA und Deutschlands halte. Er fügte an, dass man untersuchen wolle, ob es sich bei der gegen die Opositionellen in Bahrain verwendeten Malware um Demonstrationsskopien handeln könnte oder ob sie von einer Drittpartei verkauft worden sei.
 
Behörden schweigen
'Bloomberg' hat versucht, Offizielle in den genannten Ländern für einen Kommentar zu kontaktieren. Aus Äthiopien, Katar und der Mongolei erhielt der Wirtschaftsnewsservice keine Anwort. Die USA wollte keinen Kommentar abgeben, Australien dementierte den Gebrauch von FinFisher. Offizielle aus Tschechien, Estland und Indionesien erklärten jeweils, dass sie persönlich keine Kenntnis über den Einsatz der Spyware hätten.
 
FinFisher wird von der Gamma Group Regierungen und Polizeibehörden angeboten. Bekannt ist beispielsweise, dass das deutsche Bundeskriminalamt eine Testversion erworben hat. FinSpy soll unter anderem Skype- und andere VoIP-Gespräche mithören, Chats und E-Mails überwachen, Webcam und Mikrofone ohne Wissen des Benutzers einschalten und Tastaturanschläge aufzeichnen können. Änliche Spionagesoftware, aber von einem anderen Hersteller, haben auch Schweizer Behörden eingekauft. (hjm)
Kommentar schreiben
 
Newsletter abonnieren
E-Mail-Adresse
HOT Stories
Neu auf altText
Kolumnen
Features