Hacker entwendet 40 GByte Daten über Regierungsspyware

(Bild: Shutterstock)

Ein anonymer Hacker hat Gamma Group, den Hersteller der Regierungsspyware FinFisher gehackt. Der Unbekannte, der das Pseudonym Phineas Fisher verwendet, kompromittiert mit den 40 GByte Daten nun die vielfältigen Überwachungsangebote, die das britisch-deutsche Unternehmen an Regierungen und Ermittlungsbehörden verkauft. Die vollständigen Enthüllungen werden wohl einige Zeit in Anspruch nehmen.

Phineas Fisher twitterte erste Details unter dem parodistischen Twitter-Konto @GammaGroupPR. Es handelt sich freilich um keine PR-Agentur, sondern um die erste Schnittstelle zur Verbreitung von Leaks und Stimmungsmache, darunter leider auch ein antizionistischer Tweet, wenngleich er wahrlich nicht auf bare Münze genommen werden darf. Andere Ankündigungen wie „Get your free trial of FinSpy Mobile! Supporting Android, Blackberry, Windows Mobile, and Symbian […]“ transportieren den verzweifelten Witz seiner Klagen dafür etwas subtiler.

Was hat Phineas Fisher gehackt?

Die Daten betreffen die Regierungsspy- und malware FinFisher der unter anderem in München ansässigen Gamma Group. FinFisher ist eine Software-Suite, zu der auch FinSpy, eine Trojaner-Software für Fernzugriff auf infizierte Rechner, gehört. Sie ist sowohl unter Windows, als auch unter Linux und Mac OS X einsatzfähig. Die Programme können Rechner übernehmen, Dateien kopieren, den Arbeitsspeicher herabsetzen, Skype-Gespräche abhören und Tastatureingaben mitschneiden. Wie der Hack enthüllt, reichen ihre Kompetenzen aber noch deutlich weiter. Werbe-Videos von Exploits und Quelltext von FinFly Web wurden zudem ebenso veröffentlicht.

Dem Firmenkonglomerat wurde außerdem wiederholt vorgeworfen, dass es seine Software auch an nahöstliche Unterdrückungsregime verkauft. So wurden beispielsweise in Bahrain jene Hackertools gegen Menschenrechtsaktivisten eingesetzt. Gamma Group verteidigte sich jedoch stets damit, dass es seine Software ausschließlich an „gute“ Regierungen verkaufe – autoritäre Regime könnten sie also nur auf illegale Weise erworben haben. Jene Schutzbehauptung sieht Phineas Fisher nun widerlegt. In einem Beitrag auf Reddit schreibt er: „Und das war das Ende der Geschichte bis vor ein paar Tagen, als ich mich hineinhackte und 40 GByte Daten aus Gammas Netzwerken holte. Ich habe harte Beweise dafür, dass sie ihre Software an Leute verkauften (und es noch immer tun), die sie für Angriffe auf bahrainische Aktivisten nutzen – und es steckt noch eine Menge mehr in diesen 40 GByte.” Der erfolgreiche Hacker bat um schnelle und große Verbreitung der Dokumente, die inzwischen auch bei Netzpolitik.org gespiegelt werden. Gemeinsam solle die Netzgemeinde die Daten auswerten und den schädlichen Code nutzen, um sich selbst vor den Spähangriffen zu schützen.

Weiter sei auch eine Preisliste für Spyware-Lizenzen und Trainingskurse für ihren Einsatz in den Dateien enthalten. Nicht selten tauchten dort sechsstellige Euro-Beträge auf. Schon 2013 wurde bekannt, dass die deutsche Bundesregierung 147.000 Euro für die einjährige Nutzung der Überwachungssoftware FinSpy auf zehn Rechnern zahlte. Außerdem musste die Software noch an rechtliche Anforderungen angepasst und weiteren Tests unterzogen werden.

Ein Tabellenkalkulationsdokument beschreibt, inwieweit FinFisher die Erkennung durch 35 führende Antivirus-Programme vermeiden kann. Auch die Nutzung der Spyware nach Ländern in den vergangenen Jahren wird aufgeschlüsselt. Versionshinweise verraten dabei mehr über die laufende Programmpflege. So sollen Patches im April 2014 dafür gesorgt haben, dass Microsoft Security Essentials das Rootkit Gammas nicht aufspürt. Einem weiteren Hinweis zufolge kann die Malware auch Windows-Systeme mit zwei angeschlossenen Bildschirmen überwachen. Ebenso sei das Mitlesen von E-Mails bei Mozilla Thunderbird sowie Apple Mail verbessert worden.

Software, die die Überwachung erkenne, wird ebenfalls aufgelistet. Demzufolge soll FinFisher bei Skype-Gesprächen unter OS X erkannt und die aktive Aufnahme angezeigt werden. Ähnliches gilt bei der Skype-App für das Modern-UI von Windows 8, während der Desktop-Client die Spyware nicht bemerkte. Noch nicht lieferbar, aber bereits mit Preisen avisiert ist Spionagesoftware für Apples Mobilbetriebssystem iOS 7.

Wie fängt man sich die Spyware ein?

Verwendet wird beispielsweise ein vorgetäuschter Updater für den Adobe Flash Player, den Phineas Fisher auch auf seinem Twitter-Konto auf die Schippe nimmt. Eben solch ein Fake kann auch ein Firefox-Plug-In für RealPlayer sein. Die Gamma Group scheint überdies auch Exploits von der umstrittenen französischen Sicherheitsfirma Vupen zu beziehen, die für den Verkauf von Zero-Day-Lücken an die NSA bekannt ist.

Gamma ließ sich bislang zu keinem Kommentar hinreißen. Raphael Vinot, Malware-Researcher aus Frankreich dekompilierte indessen ein paar der Java-Klassen, um den Code verständlicher zu machen. Gegenüber Netzpolitik.org erklärte er:

Ich habe gestern einen sehr schnellen Blick auf das Repository geworfen und ein paar Klassendateien dekompiliert. Die Webseite ist eine Testseite, beispielsweise um neuen Kunden zu zeigen, was sie können.

Ich glaube nicht, dass es in dem Code etwas gibt, das besonders interessant ist. Aber es ist eine sehr gute Plattform, um nicht-technischen Menschen zu zeigen, was Angreifer tun können und wie das in freier Wildbahn aussieht.

Ich persönlich werde den Quellcode bei Cyptoparties wiederverwenden.

Das interessanteste, was ich rausgefunden habe, ist die Datei SearchEnhancer.java, in der die Webseite www.codito.de referenziert ist. Diese leitet auf www.mushun.de, und dort steht im Impressum Martin J. Muench, der bisher bei der Gamma GmbH war und auch als Sprecher aufgetreten ist.

Dieser Kerl ist ein Malware-Entwickler und muss auch so behandelt werden. Ich hoffe sehr, dass die Liste der Kunden demnächst bekannt wird. Am wichtigsten ist aber, dass Möglichkeiten zur Erkennung entwickelt und veröffentlicht werden, um sie mit Firmen und anderen Partnern zu teilen, damit FinFisher “in the wild” erkannt werden kann.

Die FinFisher GmbH wollte gegenüber Netzpolitik.org ebenfalls „keine Stellung nehmen.“ Martin Münch war außerdem „jetzt gerade ganz sicher nicht“ im Haus.

Eines der drei geleakten Exploit-Videos. Hier: FinSploit Sales: Windows 7 SP1 – Browsers Exploit

Scheinbar zählen aber nicht nur Regierungen zu den Kunden der Gamma Group. Phineas Fisher twitterte unter anderem die folgenden Firmen, die ihrerseits selbst Regierungen mit Überwachungsprogrammen belieferten.

Tags :Quellen:Netzpolitik.org Bild: ShutterstockVia:Bernd Kling, ZDNet.de
  1. Ich wette um 10 Euro dass der Exploit im Linux Kernel längst gepatcht ist – falls sie nicht einfach einen Flash-Updater vortäuschen (1. Benutzt im 21. Jahrhundert niemand mehr Flash, 2. Würde es selbst wenn automatisch aus einer Quelle aktualisiert. )

    Schlechte Chancen was Linux betrifft.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising