Staatstrojaner für Mac: Aktivist aus Angola mit Spyware überwacht, die weltweit zur Spionage eingesetzt wird

Der Apple-Rechner eines Anti-Korruptions-Aktivisten aus Angola wurde mit einem Staatstrojaner infiziert, der Screenshots an die Angreifer verschickt hat. Das hat der Sicherheitsforscher Jacob Appelbaum letzte Woche entdeckt. Laut einer Sicherheits-Firma ist die Malware Teil eines größeren digitalen Spionage-Netzes, das auch Ziele in Deutschland infiziert hat.

Letzte Woche fand das Oslo Freedom Forum statt, eine Konferenz, auf der hunderte „Dissidenten, Innovatoren, Journalisten, Philanthropen und Politiker“ diskutieren, wie man am besten „autoritäre Regime herausfordern und freie und offene Gesellschaften fördern kann“. Einer der Gäste war Rafael Marques de Morais, der sich in Angola gegen Korruption einsetzt. In einem Workshop, wie man seine Geräte gegen staatliche Überwachung schützen kann, entdeckte der Aktivist Jacob Appelbaum auf dessen Computer eine neue Überwachungs-Software.

De Morais nutzt einen Apple-Laptop mit OS X und verwendet die Anonymisierungs-Software Tor. Am 8. April erhielt er eine E-Mail mit einem infizierten Dateianhang. Beim Öffnen installierte sich eine eher einfache Spyware, die mit einer validen Apple Developer ID signiert war. Die Spähsoftware machte regelmäßig Screenshots vom Rechner und schickte die an Server in den Niederlanden.

Mit diesen Screenshots lassen sich unter anderem Dokumente, Skype-Chats und E-Mails des Überwachten mitlesen, wie Jacob in einem Video erläutert:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Zeitgleich mit dieser Entdeckung veröffentlichte die IT-Security Firma Norman Shark einen Bericht über Spyware aus Indien. Die norwegische Telefongesellschaft Telenor wurde ebenfalls mit der „Spear Phishing“ Methode angegriffen und ausgespäht. Bei der Untersuchung des Angriffs stellte sich heraus, dass Telenor nur eines von vielen Zielen in einem größeren Angriffsnetzwerk ist. Zunächst wurden demnach Ziele „von nationalem Interesse“, wie in Pakistan, überwacht. In den letzten Jahren widmeten sich die Angreifer/innen auch Zielen zur Industrie-Spionage.

Bei genauerer Untersuchung stellte sich heraus, dass der Angriff auf den Laptop von Rafael Marques de Morais mit der selben Infrastruktur durchgeführt wurde, wie die Spionage made in Indien. Eine weitere Spähsoftware wurde von der selben Apple Developer ID signiert. Die Ziele waren nicht wenige:

We do not know all countries affected by attacks from the Hangover group, but we have seen indicators from countries Norway, Pakistan, US, Iran, China, Taiwan, Thailand, Jordan, Indonesia, UK, Germany, Austria, Poland, Romania and more – and the activist in Oslo Freedom Forum was reportedly from Angola.

Dieser Fall zeigt erneut, dass es gegen Spähsofwtare keinen ausreichenden technischen Schutz gibt. Mit genug Aufwand wird jedes Computersystem zur Wanze. Umso wichtiger ist es, Staatstrojaner politisch zu verhindern und bekämpfen.

10 Ergänzungen

  1. Das ist natürlich Mist. Aber ich frage mich auch warum Aktivisten nicht Tools wie LittleSnitch oder HandsOff! verwenden, um ausgehenden Netzwerk-Traffic zu überwachen. Anscheinend fehlt es da auch an grundlegender Aufklärung.

    Jake hat selbstverständlich recht, aber wie man als Aktivist in Afrika Skype verwenden kann, ist mir auch nicht ganz klar.

    Irgendwie brauchen diese ganzen NGOs usw einen Grundkurs in IT-Sicherheit, bevor sie ihre Mitglieder einer solchen Gefahr aussetzten.

  2. Sehr spannender und informativer Artikel. Die Aussage am Schluss ist aber recht naiv: Natürlich muss für den individuellen Laptop gelten, was auch sonst im Sinne der Bürgerechte gilt. „Staatstrojaner“ wird es aber trotzdem geben, mindestens bei den Geheimdiensten. Verbieten hilft gar nichts, weil irgendjemand die Dinger trotzdem benutzen wird. Allein schon, weil die Technik verfügbar ist. Das ist wie bei Zahnpasta, die aus der Tube ist. Man bekommt sie nicht mehr hinein. Clever wäre, sich darum zu kümmern und zu informieren, wie man solche Attacken abwehrt, wie man Spyware auf seinem Rechner aufspührt, wie man sich im Netz unsichtbar macht, wie man verschlüsselt usw. Dort allein liegt die Chance. Der Verbotszug ist schon lange abgefahren.

  3. Wenn man dem Link mit den Screenshots anklickt, sieht man, dass das Programm als Loginitem „getarnt“ ist und die Bilder in einem extrem auffälligen Ordner im Hauptverzeichnis der Festplatte „versteckt“ :)

    1. Linux ist schon allein aus dem Grunde angreifbar weil es Open Source ist. Ob es angegriffen wird ist ein völlig anderes Thema.

  4. Also ich weiß nicht. Der Nutzer muss hier ja schon sehr mithelfen, damit das funktioniert. Die vorangegangen Kommentare haben zutreffend darauf hingewiesen. Ein technischer Schutz ist insofern ja auch nicht möglich, dann dürfte der Nutzer ja gar nichts mehr installieren. Es war hier also gerade nicht so, dass eine Sicherheitslücke oder dergleichen genutzt worden ist. Die Sicherheitslücke war also – mal wieder – der User.

  5. Interessant mal aus diesem Zusammenhang aktuell das Thema Apple und Steuern.
    Erstaunt kann man sein wer da alles am brüllen ist.
    Wenn Aktien ein Spiel auf die Zukunft sind, ja dann..

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.