Überwachung

Hacking Team Remote Control System: Europäischer Staatstrojaner überwacht arabische Aktivisten

Politische Aktivisten in Marokko und den Vereinigten Arabischen Emiraten sind von einem Trojaner infiziert und ausgespäht worden, der in Italien entwickelt und an staatliche Stellen verkauft wird. Das berichtet das kanadische Citizen Lab in einer neuen Analyse. Möglicherweise hat die französische Firma Vupen Security einen Exploit dafür geliefert.

Überwachungssoftware der italienischen Firma Hacking Team könnte von den Exportkontrollen betroffen sein.(Symbolbild)

Bereits im Juli berichtete netzpolitik.org, dass die russische Anti-Viren-Firma Doctor Web den kommerziellen Überwachungs-Trojaner Remote Control System der italienischen Firma Hacking Team enttarnt hat. Der Forscher Morgan Marquis-Boire hat heute bei Citizen Lab weitere Details veröffentlicht.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Politische Aktivisten im Visier

Anfang Juli gewann das unabhängige marokkanische Medienzentrum Mamfakinch („Wir geben nicht auf“) den Breaking Borders Award von Google und Global Voices für seine unabhängige Berichterstattung über Proteste in dem nordafrikanischen Land. Keine zwei Wochen später wurde von einer marokkanischen IP-Adresse eine Nachricht auf dem Kontaktformular hinterlassen, die auf einen Skandal hinwies, der in einem Word-Dokument nachzulesen sei. Beim Öffnen des Dokuments installierte sich eine Java-Datei, die den Rechner infizierte und eine Backdoor installierte.

Nur ein paar Tage im Juli später erhielt der Aktivist Ahmed Mansoor in den Vereinigten Arabischen Emiraten eine E-Mail von der Adresse arabic.wikileaks@gmail.com. Dort hing das Word-Dokument „veryimportant.doc“ an, das beim Öffnen eine bekannte Lücke in Microsoft Office ausnutzte und ebenfalls eine Backdoor installierte.

Spähsoftware aus Europa

Laut Citizen Lab handelt es sich dabei in beiden Fällen um „Remote Control System“ (RCS) von Hacking Team. Das berichtete Ryan Gallagher im Online-Magazin Slate bereits im August. So entspreche die Funktionalität der untersuchten Spionagesoftware genau den beworbenen Fähigkeiten: die Übernahme des kompletten Rechners, der Mitschnitt aller Kommunikation und Tastendrücke, die Überwachung per Mikrofon und Kamera. Kurz: die volle Kontrolle.

Zudem taucht in den Backdoors der Pfad „C:/RCS/“ auf, ebenso wie „Guido“, der Name des Entwicklers. Die Untersuchungen der Anti-Viren-Firmen Dr. Web und Symantec wiesen ebenfalls diese Zeichenketten auf. Ein strukturell ähnliches Sample auf Virus Total kommunizierte außerdem mit der Domain „rcs-demo.hackingteam.it“.

Hacking Team, Italien

Der kommerzielle Staatstrojaner Remote Control System dürfte in einer anderen Liga spielen als die deutsche Firma DigiTask. Wie berichtet läuft RCS sowohl auf Windows als auch auf OS X und „allen großen Betriebssystemen von Rechnern und Smartphones“.

Im Juli berichtete netzpolitik.org:

Zwar verkaufen die Italiener nur an Staaten und eine Lizenz kostet 200.000 Euro pro Jahr. Trotzdem hatte man Ende letzten Jahres laut eigener Aussage um die 30 Behörden in circa zwei Dutzend Ländern beliefert. Die Software ist auf fünf Kontinenten im Einsatz, darunter auch der Nahe Osten, Nordafrika und Ostasien. Auf der Fachmesse Cyber Warfare Europe in Berlin letzten Jahres berichtete ein Firmensprecher von einigen tausend Zielpersonen, auf deren Geräten der Trojaner im Einsatz ist.

Vupen, Frankreich

Doch auch die französische Firma Vupen Security könnte in den aktuellen Fall involviert sein. Laut Marquis-Boire benutzt die gegen Mansoor eingesetzte Backdoor ähnlichen Shellcode wie das Sample bei Virus Total. Der dort verwendete Exploit verwendet jedoch eine Lücke im Adobe Flash Player, die schon im Januar von Vupen entdeckt, aber erst Ende August öffentlich bekannt und geschlossen wurde.

Vupen ist auf „offensive Security“ spezialisiert, das heißt sie forschen nach Lücken und verkaufen diese an den Meistbietenden. Letztes Jahr entwickelte das Team einen Exploit für Google Chrome, half aber nicht, die Lücke zu schließen. Dem Wirtschaftsmagazin Forbes sagte Firmen-Chef Chaouki Bekrar, dass man das auch für eine Million Dollar nicht sagen würde, da man die Lücke für viel mehr Geld an ihre Kunden verkaufen kann, die darüber Rechner infizieren wollen.

Digitaler Waffenhandel

Dass es nicht bei virtueller Überwachung bleibt, zeigt auch der aktuellen Fall. Die Angreifer hatten zunächst volle Kontrolle über den Rechner von Mansoor und lasen all seine E-Mails mit, selbst nachdem er das Passwort geändert hat. In den letzten Wochen ist der dann zweimal auf offener Straße überfallen und zusammen geschlagen worden, wie Vernon Silver für Businessweek berichtet.

Der Einsatz von Überwachungstechnologien nimmt weltweit zu und wird fast schon alltäglich. Die bekannt gewordenen Fälle sind dabei nur die Spitze des Eisbergs. Die Richtung ist jedoch immer gleich: Entwickelt wird die Software in Europa, eingesetzt in autoritären Regimen auf der ganzen Welt. Und statt etwas dagegen zu tun, betrachtet es die deutsche Bundesregierung als Wirtschaftsförderung und unterstützt den Export solcher digitaler Waffen sogar noch.

Weitersagen und Unterstützen. Danke!
13 Kommentare
  1. Dem Wirtschaftsmagazin Forbes sagte Firmen-Chef Chaouki Bekrar, dass man das auch für eine Million Dollar nicht sagen würde, da man die Lücke für viel mehr Geld an ihre Kunden verkaufen kann, die darüber Rechner infizieren wollen.

    Wie zum Henker kann es sein, dass das legal ist? Bei uns werden Wohnungen durchsucht, weil Leute die Gema Seite angesurft haben und der kann sowas ganz offen im Interview sagen?

    1. Wir brauchen DRINGEND Regeln für Cyberkriegsführung.
      Das Entdecken und anschließende Verschweigen von Sicherheitslücken müsste zudem schleunigst unter Strafe gestellt werden.

      Wenn die aktuelle Entwicklung nicht schnell umgekehrt wird, steht unus eine Zukunft aus völlig löchriger Software und verwundbaren Betriebssystemen bevor, in der niemand mehr den Überblick hat wer in welche Systeme eindringen kann.

      Vor Jahren haben Hacker die Firmen blosgestellt, dann wurden sie verantwortungsvoller und haben nur über Sicherheitslücken informiert. Da die dann aber einfach ignoriert wurden, wurden dann die Medien informiert.

      Jetzt, mit Stuxnet/Flame und co. werden die Exploits zunehmend verkauft. An den meistbietenden. BNS, NSA, Mossad und wie sie alle heißen haben kein Interesse, dass ihre gekauften Sicherheitslücken gepatcht werden. Ich kann also meine 0-Days auch mehrfach verkaufen. An Amis und Chinesen, dazu an Saudi Arabien und an Siemens und Cisco und noch an DigiTask oder die Camorra. Und irgendwann kann fasat jeder mit verbrecherischem Interesse in alle Computersysteme eindringen und keiner außer Symantec (wenns um russische und chinesische Spionage geht) und Kaspersky (wenns um amerikanische Spionage geht) hat überhaupt noch ein Interesse daran, dass die Systeme sicherer werden.

    2. Hm… Weil „ganz einfach“ nun mal Regierungen (bzw. regierungsnahe Instanzen, Nachrichtendienste, Militärs etc…) diese meistbezahlenden Kunden sind.
      Diese sind vor dem Gesetz – vor dem wir ja alle gleich sind – etwas gleicher.

  2. „….da man die Lücke für viel mehr Geld an ihre Kunden verkaufen kann, die darüber Rechner infizieren wollen“

    Mitlerweile „pfeifen es doch die Spatzen von den Dächern“ das zumindest bei einigen politisch motivierten „Trojanern“ oder „sutz.net“ Varianten, Microsoft selbst mit im Boot ist , da ja den Regierungen dieser Ankauf von zweifelhaften Quellen zu Teuer und Unsicher wird.

    Zudem, warum wird hier immer lediglich die disbezügliche Überwachung „arabische Aktivisten“ herrausgestellt oder glaub man ernsthaft das europäische oder deutsche „Aktivisten“ damit nicht Überwacht werden?
    Gesetzliche Einschränkungen disbezüglich welche dann für den Unterschied zum demokratischen „Rechtsstaat“ herrangezogen werden gelten zwar für Polizeiarbeit wie BKA , Staatsanwälte ect , aber auch hierzulande nicht oder nur theoretisch für Geheimdienste.

    1. Das geht genauso mit Open Source. Und:

      Researchers are purposefully placing bugs in open source software during the development stages, so that when code appears in completed products, those same researchers can highlight the flaws and profit from them where companies are willing to pay, Anderson has told TechWeekEurope.

      1. Klar geht es auch mit OpenSource, aber ich denke dort ist die Wahrscheinlichkeit größer, dass Löcher gefunden und gestopft werden eben weil der Code offen liegt.

    2. Man benötigt kein „Sicherheitsloch“ mehr egal ob bei Windows oder ein Open Source OS , der Schwachpunkt ist längst ein Anderer und zwar die „Zertifizierungen“ für OS Update , Hardware Treiber oder von Programmen wie letztens zb. bei Adobe.
      Dann kommen diese Staatstrojaner einfach per einem System oder Programme Update mit einem Microsoft Zertifikat , für die Peronalisierung benötigt man nur noch zb. die OS Serien Nummer der anderer Programme oder Hardware Kompunenten der Zielperson(en) und schon werden Schnüffelprogramme einfach per OS , Treiber oder welch Ironie „Sicherheitsupdate“ vom Anwender selbst Installiert.
      Dagegen hilft eigentlich kaum noch etwas , schon gar keine Virenscanner oder Firewall.

  3. VAE, da wissen wir doch: Es geht um „Stabilität in der Region“.

    Wohin Panzer und Atomwaffenträger gelangen, Unliebsame zum Foltern hingeflogen werden, darf selbstverständlich auch „Überwachungstechnik“ zur Einhaltung von Recht und Ordnung nicht fehlen bei den „Verbündeten“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.