Gamma FinFisherWeltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

Die kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings „Finspy4.01“ und „Finspyv2“. Die Funktionen ähneln Gammas Datenblättern über FinFisher, deren Demo-Software mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org kommuniziert. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser „Command and Control“-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit „Hallo Steffi“.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

17 Ergänzungen

  1. Anscheinend müssen die Dateien noch bereinigt werden und der Download-Link ist wieder verschwunden :/

  2. Jede Wette das ähnliches auch schon seit längerer Zeit bei uns eingesetzt wird, ohne jede juristische Rechtfertigung natürlich.
    Vor allem gegen politische Aktivisten, denen geht nämlich mittlerweile der Arsch auf Grundeis.
    Hier mal ein Link zu diesem Thema:
    http://alternativlos.org/25/
    Das ist zwar sehr lang aber doch sehr aufschlussreich.

    1. Wem geht der Arsch auf Grundeis? Sind die gerade im Urlaub, verstecken oder vernichten Akten? #London2012 geht der Arsch auf Grundeis! Aktivist’innen denen der Arsch auf Grundeis geht, sind mir nicht bekannt. V-Leute und Agent Provokateure hingegen, legen es regelrecht d’rauf an. Gegen radikalen Frieden ist aber kaum ein Kraut gewachsen.

      1. Ich meine nicht die Aktivisten, sondern die Regierungen…;-)
        Jetzt wo die Eurozone quasi zusammenfällt.
        Sorry, wenn ich mich diesbezüglich etwas unklar ausgedrückt hatte…

    1. Wenn der US Präsident sagt in Bahrain herrscht eine „Gute“ Diktatur wie in „Saudi Arabien“ oder „Georgien“ dessen Feinde alles nur böse Terroristen sind , wird doch das deutsche Außenhandelsministerium dem nicht Widersprechen.
      Jeder weiß das es bei den „Arabellionen“ weniger um Menschenrechte denn um wirtschaftliche und strategische Interessen geht. Vorbilder waren die „Farben-Revolutionen“ in den 1990ern in ehemaligen Kaukasus und Sowjetrepubliken. Auch dort entstanden bis heute zwar keine echten Demokratien aber zumindest Nato Basen und Einflußgebiete.

      1. Ein Unterdrückungs-Paragraph kann immer nur gegen die Opfer, niemals gegen Täter angewandt werden.

  3. Gibt es nicht die Möglichkeit, die wegen Beihilfe zu Menschenrechtsverletzungen anzuzeigen?

    1. „Die kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ….“
      Gamma International UK Ltd. All Rights Reserved

      Da müsste man dann wohl vor Englischen oder EU Gerichten , mit kaum Aussicht auf Erfolg

  4. So ist das, wenn die Hirten Angst vor den eigenen Schafen haben. Aber was machen die, wenn der böse Wolf kommt?

    Man sollte sich von Seiten westlicher Regierungen besser nicht allzuweit aus dem Fenster lehnen, wenn es um böse Diktaturen und deren Überwachungsapparate geht.
    Vor allem, wenn der eigene Schattenwurf schon nicht grad klein ist.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.