RAT – Wie Remote Support Tools für Überwachung und Spannerei mißbraucht werden

Quelle: Ars Technica

Remote access tool, kurz RAT: Eine Software, die es ermöglicht, die Kontrolle über ein fremdes Computersystem zu übernehmen. Solche Programme wurden entwickelt, um von außen technischen Support auf einem Zielsystem leisten zu können. Doch der umfangreiche Ars Technica Artikel über ‚Ratter‘, der gestern erschienen ist, beschreibt ein ganz anderes Szenario: Vater, Mutter, Kind sind zu Hause. Ein ‚Hacker‘, tausende Kilometer entfernt, sieht Frau und Kind auf der Couch vor ihrem Computer sitzend. Er sieht sie durch ihre eigene Webcam. Weil ihm das zu langweilig wird, öffnet er pornografische Webseiten auf dem Computer der Familie und beobachtet die Reaktionen. ‚For teh lulz‘.

Nate Anderson schreibt, es handle sich wohl ausschließlich um männliche ‚Ratter‘, die RAT benutzen, um Frauen zu beobachten und sich in Foren damit zu brüsten. Im Hack Forums gibt es einen mehr als 130 Seiten umfassenden Thread mit Aufnahmen von Frauen, die mit ihren eignen Webcams gemacht wurden. Diese Frauen werden von den Rattern slaves genannt, also Sklaven. Und das ist nicht der einzige Thread und nicht das einzige Forum, in dem es um RATs geht.

Quelle: Ars Technica
Menschen mithilfe von RATs beobachten; Ars Technica

RAT Software ist nichts Neues – 1998 wurde eine der ersten, BackOrifice, auf der Defcon vorgestellt, als Tool für „remote tech support aid and employee monitoring and administering [of a Windows network].“ Heute geht es Rattern vor allem darum, möglichst solche Tools zu finden, die an Anti-Viren-Programmen vorbeikommen und nicht nachweisbar sind. Um ein System zu infizieren, muss die Zielperson lediglich dazu gebracht werden, eine Datei auszuführen. Die wird häufig in Taschbörsen platziert, benannt nach beliebten Filmen oder Songs. Ein Ratter erzählt, er habe besonders viele weibliche slaves anhand einer infizierten Sims 3 Version kriegen können. Anderson schreibt, es gebe sogar Bücher wie Rusty_v’s Spreading Guide v 7.0, in dem RAT ‚Experten‘ Tips und Tricks zum Infizieren fremder Systeme geben.

Followers of Rusty_v’s methods are told they can pick up 500-3,000 slaves per day. The book is „noob friendly“ and features „many screenshots.“ And if even this handholding isn’t enough, more successful ratters sometimes rent out slaves they have already infected. In other cases, they simply hand them off to others in a „Free Girl Slave Giveaway.“

Ratter brauchen also keine allzu großen technischen Fähigkeiten, haben aber nahezu vollständige Kontrolle über den von ihnen infizierten Computer.

RATs können auch völlig legitim sein. Sicherheitsfirmen nutzen sie beispielsweise, um bei einem Diebstahl den Aufenthalt des Laptops herauszufinden oder sensible Daten zu löschen. Ein Forscher der Sicherheitsfirma MalwareBytes, Adam Kujawa, hat eine Liste aller Funktionen des berühmten RAT DarkComet zusammengestellt:

  • Find out all system information, including hardware being used and the exact version of your operating system, including security patches
  • Control all the processes currently running on your system
  • View and modify your registry
  • Modify your Hosts file
  • Control your computer from a remote shell
  • Modify your startup processes and services, including adding a few of its own
  • Execute various types of scripts on your system
  • Modify/View/Steal your files
  • Put files of its own on your system
  • Steal your stored password
  • Listen to your microphone
  • Log your keystrokes (duh)
  • Scan your network
  • View your network shares
  • Mess with your MSN Messenger / Steal your contacts / Add new contacts!
  • Steal from your clipboard (things you’ve copied)
  • Control your printer
  • Lock/Restart/Shutdown your computer
  • Update the implant with a new address to beacon to or new functionality
  • Watch your webcam
  • Use your computer in a denial of service (DOS) attack

Und das ist nicht mal alles. Es gibt noch einen Fun Manager, der für Verwirrung sorgen soll, in dem zum Beispiel die Taskleiste versteckt oder das CD-Fach geöffnet wird. RAT kann zudem Windows Text-in-Sprache-Programme auf dem Remote-System aktivieren, sodass Texte vorgelesen werden können, oder ein Chat Fenster öffnen, oder Klaviermusik abspielen. Laut Kujawa sind das vor allem Funktionen, die die Slaves ärgern sollen.

Im Juni 2012 wurde Michael Hogue, einer der Entwickler des RAT Tools Blackshades, vom FBI festgenommen für das Verkaufen von „malware that allows cybercriminals to take over and control, remotely, the operations of an infected computer.“ Er wollte auf einer Seite die nötigen Rechte erlangen, um Blackshades verkaufen zu können – die Seite war ein Honeypot des FBI, und er zeigte u.a. einem FBI Agenten sein persönliches RAT Dashboard. Hogue wurde im Januar zu 40.000$ Strafzahlung verurteilt. Blackshades wird weiterhin verkauft, für bis zu 50$/Stück, mit folgender Werbung:

Have you ever questioned what your spouse, kids or employees have been doing on the computer?
Is your child misusing the Internet facility and taking secret chat with the stranger? Are your employees mailing your business data to your competitors? Blackshades Remote Controller will enable you to control the client’s PC as if you were sitting right in front of it, with support for mouse and keyboard input!

Einige Wochen nach der Verhaftungs Hogues kündigte Jean-Pierre Lesueur das Ende des von ihm entwickelten RAT Tools DarkComet an: Gründe sind zum Einen die Missachtung von Regeln durch Nutzerinnen und Nutzer an, zum Anderen die Vermutung, dass DarkComet in Syrien genutzt wurde, um Aktivistinnen und Aktivisten zu bespitzeln.

Auch in Ratter Foren gibt es laut Anderson hier und da Äußerungen zu moralischen Bedenken, die werden aber meist als neidgetrieben abgetan. Vielmehr scheint der Konsens zu herrschen, dass Ratting ein legitimer Spaß ist und niemandem wehtut.

For many ratters, though, the spying remains little more than a game. It might be an odd hobby, but it’s apparently no big deal to invade someone’s machine, rifle through the personal files, and watch them silently from behind their own screens.

Aber eines der größten Probleme für Ratter bleibt die zunehmende Verbreitung von Lämpchen an den Webcams. Ein Problem, eine neue Herausforderung. Und alles for teh lulz.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

23 Ergänzungen

  1. Plastic Schieber/Tempo-Tuecherlaschenaufkleber hilft zumindest vor dem aktiven Webcamspanner — wenn auch nicht vor dem restlichen gespanne — aber umso weniger Ahnung man von Computern hat, desto wenig sollte man auf ihnen speichern/private Details preisgeben … Die andere Seite tut dies eh automatisch.

    Es ist aber lustig zu sehen, wie viele Java Programmier es gibt, die immer noch Java in ihrem Haupt-Browser zulassen …

  2. Dieser Artikel hätte in genau dieser Form auch vor fünf oder zehn Jahren „abgedruckt“ werden können. Es wird beinahe ausschließlich auf die Skript- Kiddys eingegangen, welche die – extra dazu entwickelte – Software zum Belästigen, Bedrohen oder Ausspionieren von Opfern (miss)brauchen. Dafür hier aber einen extra Artikel zu schreiben, halte ich für unnötig, da das Thema schon alt und ausgelutscht ist.

    1. Richtig, aber da es aktuelle Urteile dazu gibt und ArsTechnica scheinbar auch die Infos aus Syrien für wichtig hält, halte ich eine solche Meldung keineswegs für überflüssig. Gerade, dass diese „Tools“ auch heute noch so stark für diesen Zweck genutzt werden und werden können zeigt doch, dass die Menschen noch nicht genug sensibilisiert wurden.

  3. Floskeln die man immer wieder gerne liest – Warum schreibst du so einen abgelutschten Komentar nicht dahin, wo er hingehören würde, unter den Artikel bei Ars Technica?

  4. FYI, dass DarkComet nicht mehr vom Programmierer vertrieben und weiterentwickelt wird heisst nicht „gibt es nicht mehr“. Selbstverständlich gibt es DarkComet noch, genauso wie alle Anderen RATs, Viren, Würmer, Rootkits und Trojanische Pferde. In einschlägigen Foren kursiert der SourceCode von DarkComet, Zeus und etlichen Anderen Schädlingen.

    1. Ach so, Linux kann keine dubiosen Programmdateien ausführen, keine Webcams ansteuern, keine Dateien lesen und nichts übers Internet schicken? Muss ja ein furchtbares Ding sein, dieses Linux…

  5. Joa und rettet die Kinder.

    Diese Leute sind eine Sache, aber der Spin hinter dieser Meldung (dem Original bei ars technica) klingt mir schon in den Ohren.
    Es gibt Verbrecher, Freaks, etc. und darum müssen wir…

    Ich weiß nicht, wie ich diese Meldung einordnen soll.

    1. …besser informieren und die Menschen im Umgang mit der Technik schulen. Da hast du vollkommen Recht. :)

    2. Bzw. worum geht’s hier eigentlich?
      Wir alle kennen Viren, Trojaner, Backdoors. Ist doch nicht neu, oder?
      Wird hier ein neuer Begriff etabliert, also neben den Trojanern kommen nun noch die RATs dazu?
      Mal ehrlich, jeder drittklassige Trojaner hat doch diese Funktionalität, also warum noch unterscheiden?
      Ja, ich weiß, der Verbreitungsweg ist, bzw, kann, anders sein. Man könnte auch sagen, die Motivation ist anders gelagert.
      Dennoch.

  6. Ich hab von netzpolitik.org mal viel gehalten und ich dachte eigentlich immer, dass ihr für „das Gute“ einsteht. Mit diesem Artikel auf Springer-Niveau habt ihr eurem Ansehen (bei mir) nun nachhaltig beträchtlichen Schaden zugefügt. ;_;

    1. Ja, da geht’s mir leider genauso. Schon seit längerer Zeit.
      Sind im System angekommen möchte ich postulieren.
      Beispiele gibt es viele, leider (also hier auf dem blog).

      Die Revolution frißt ihre Kinder möchte man fast versucht sein zu sagen.

    2. Ja, seltsam… unser Blog soll besser werden und was kommt dabei raus? Computerbild Themen und Boulevardzeitung?

      Nein danke, blöde Warnungen vor der bösen Technik krieg ich auch bei meiner Mutter.

      Was zum Teufel hat das Thema mit NetzPOLITIK zu tun?

      1. Was sollen die ganzen Kommentare nach dem Muster „Ist doch lange bekannt“, „der Artikel enthält fast keine weiteren Details“ oder „hat nichts mit Netzpolitik zu tun“?

        Es ist eben nicht weit genug bekannt, dass solche Dinge vorkommen. Der Artikel braucht auch keine neuen Details zu enthalten, denn er transportiert vor allem die Information, dass das Problem weiterhin besteht. Und mit Netzpolitik hat das deshalb zu tun, weil es den Umgang mit dem Netz und das Bild des Internets in der Gesellschaft betrifft.

        Dieses Thema und die gesamte IT-Sicherheit verdient mehr Aufmerksamkeit. Gleichzeitig müssen aber auch Mittel und Wege aufgezeigt werden, wie man seine Systeme sauber hält. Denn es darf eben nicht der falsche Eindruck entstehen, dass es unmöglich sei, seine Rechner sicher vor Angriffen zu betreiben.

      2. Ich finde solche Artikel auch wichtig. Nicht jeder der hierher kommt ist schon sein Jahren mit allen Problem des Internet vertraut (wer ist das schon). Wenn es ein Problem gibt (RATs), sollte man das ruhig ab und an wiederholen.

    3. Ah und Moderator_INNEN hier mögen Kritik an Gender-Gedöns nicht, daher werden Kommentare, die unsinnige Verwendung von „Sexismus-Vorwürfen“ und Geschlechter-Stereotypen im Artikel („Frauen können sich nicht gegen Script-Kiddies wehren“) anprangern einfach gelöscht…

      Ich bin raus.

  7. Und euer Plan war es, sich mit inhaltsleeren WischiWaschi Kommentaren und sexistischem Bullshit von weit unten dem eigenen Qualitätsanspruch zu nähern? Well done, poor guys.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.