There is also an adapted english version of this posting.
Gestern haben wir berichtet, dass der Twitter-Account @GammaGroupPR interne Dokumente der Trojaner-Produktfamilie FinFisher/FinSpy aus dem Hause Gamma veröffentlicht. Seitdem ist ein Posting auf dem Social News Aggregator reddit aufgetaucht, in dem jemand mit dem selben Username postet:
[…] Vor ein paar Tagen habe ich Netzwerke von Gamma gehackt und 40 GB Daten kopiert. Ich habe harte Beweise, dass sie wussten, dass sie ihre Software an Leute verkauft haben (und noch immer verkaufen), die damit Aktivisten in Bahrain angreifen, zusammen mit einer ganzen Menge anderer Sachen in diesem 40GB.
Hier ist ein Torrent mit allen Daten. Bitte ladet sie und seedet sie weiter. Hier ist ein Twitter-Feed, in dem ich einige der interessanten Sachen poste, die ich dort finde. Dabei fange ich langsam an und steigere mich langsam, statt all die schlimmste Scheiße auf einmal zu veröffentlichen.
Falls dieser Tweet stimmt, handelt es sich dabei um den Server, der unter finsupport.finfisher.com erreichbar war und demnach mittlerweile abgeschaltet wurde.
Leider ist die originale Torrent-Datei derzeit nicht downloadbar, auf torrentproject.com scheint es einen Mirror zu geben. (Hier bei uns.)
In der Zwischenzeit sind weitere Dateien aus diesem Archiv auf dem Twitter-Account veröffentlicht wurden, die wir wieder gerne spiegeln.
FinSploit Sales
Das ist einmal eine ZIP-Datei zu „FinSploit Sales“ mit einer Textdatei und drei Videos.
Die README enthält diese Frequently Asked Questions:
Q: Can you supply a list of the current exploits?
A: Yes but we need to do this individually for each request as the available exploits change on a regular basis.Q: Can we name the supplier?
A: Yes you can mention that we work with VUPEN hereQ: How does the customer get the exploits?
A: They will get access to a web-portal where they can then always download the available exploitsQ: Can this be used to deploy other trojans than FinSpy?
A: Yes, any exe file can be sentQ: Which Operating Systems do you cover?
A: Currently the focus is on Windows Vista/7. Some exploits for XP are also available. At the moment there are no 0 day exploits for OSX, Linux or mobile platforms.
Damit ist die enge Zusammenarbeit von Gamma/FinSpy mit dem französischen Exploit-Hersteller VUPEN wohl belegt.
Die Begrenzung auf Windows 7 und Vista erscheint veraltet. Bereits vor zwei Jahren haben wir berichtet, dass FinSpy Mobile auch für alle mobilen Systeme (also iOS, Android, BlackBerry, Windows Mobile und Symbian) existiert. Und letztes Jahr haben interne Folien bestätigt, dass FinSpy alle großen Betriebssysteme (Windows, Linux und Mac OS X) infizieren kann. Die jetzt veröffentlichten Dateien wurden, sofern sie unmodifiziert sind, im Oktober 2011 entstanden, wenige Tage vor der ISS (Intelligent Support Systems) World in den USA, dem „Wiretappers Ball“. Wahrscheinlich war das der damalige Stand zur Präsentation auf der Messe und seitdem wurde die Produktpalette auf alle gängigen Systeme ausgeweitet.
Hier drei Videos, in denen damals Lücken in drei gängigen Software-Typen ausgenutzt wurden:
Windows 7 SP1 – Acrobat Reader PDF Exploit
Windows 7 SP1 – Browsers Exploit
Windows 7 SP1 – Microsoft Office 2010 DOC-XLS Exploits
Quellcode von FinFly Web
Der zweite große Coup ist Quellcode von FinFly Web, der auf dem Hosting-Dienst für Software-Entwicklungsprojekte GitHub gelandet ist. Letztes Jahr beschrieben wir FinFly Web so:
Mit FinFly Web lässt sich „konfigurierbare Software“ heimlich auf Zielsysteme einspeisen, indem sie „in Webseiten integriert“ wird. Die einfachste Übung hier ist die Erstellung spezieller Webseiten, die ausgewählte User infiziert, die mittels Spear Phishing auf die Seite geleitet werden. Gamma hat demnach Exploits für alle gängigen Browser und verschiedene Module zur Infektion.
WikiLeaks hatte in den SpyFiles 2011 ebenfalls eine Broschüre veröffentlicht.
Malware-Forscher: „Dieser Kerl ist ein Malware-Entwickler“
Raphaël Vinot, Malware-Researcher aus Frankreich, hat seitdem ein paar der Java-Klassen dekompiliert, um den Code verständlicher zu machen. Gegenüber netzpolitik.org erklärt er (als er selbst, nicht seine Arbeitgeber):
Ich habe gestern einen sehr schnellen Blick auf das Repository geworfen und ein paar Klassendateien dekompiliert. Die Webseite ist eine Testseite, beispielsweise um neuen Kunden zu zeigen, was sie können.
Ich glaube nicht, dass es in dem Code etwas gibt, das besonders interessant ist. Aber es ist eine sehr gute Plattform, um nicht-technischen Menschen zu zeigen, was Angreifer tun können und wie das in freier Wildbahn aussieht.
Ich persönlich werde den Quellcode bei Cyptoparties wiederverwenden.
Das interessanteste, was ich rausgefunden habe, ist die Datei SearchEnhancer.java, in der die Webseite www.codito.de referenziert ist. Diese leitet auf www.mushun.de, und dort steht im Impressum Martin J. Muench, der bisher bei der Gamma GmbH war und auch als Sprecher aufgetreten ist.
Dieser Kerl ist ein Malware-Entwickler und muss auch so behandelt werden. Ich hoffe sehr, dass die Liste der Kunden demnächst bekannt wird. Am wichtigsten ist aber, dass Möglichkeiten zur Erkennung entwickelt und veröffentlicht werden, um sie mit Firmen und anderen Partnern zu teilen, damit FinFisher „in the wild“ erkannt werden kann.
FinFisher: „Wir wollen dazu keine Stellung nehmen.“
Natürlich haben wir auch wieder bei der FinFisher GmbH angerufen und ein paar Fragen gestellt. Wie gestern lautet die Antwort: „Wir wollen dazu keine Stellung nehmen.“ Immerhin hat man sich diesmal am Telefon gleich mit „FinFisher“ gemeldet, statt es erst zu verneinen.
Danach gefragt, ob Martin Münch zu sprechen wäre, wurde erneut abgewiegelt:
netzpolitik.org: Ist der Herr Münch zu sprechen? Mit dem war ich bereits in Kontakt.
FinFisher GmbH: Mit dem waren sie bereits in Kontakt?
netzpolitik.org: Ja, das ist aber bereits eine Weile her, letztes Jahr oder so.
FinFisher GmbH: Herr Münch ist nicht im Haus.
netzpolitik.org: Gar nicht mehr oder nur jetzt im Moment nicht?
FinFisher GmbH: […]
netzpolitik.org: ?
FinFisher GmbH: Jetzt gerade ganz sicher nicht.
Uns ist zu Ohren gekommen, dass Martin ‚MJM’ Münch gar nicht mehr bei Gamma/FinFisher arbeitet. Wer dazu genauere Informationen hat: immer her damit!
Menschenrechtler: „solche Technologien eindeutig illegal“
, Stellvertretender Direktor der international tätigen Menschenrechtsorganisation Privacy International, kommentiert gegenüber netzpolitik.org:
In den letzten Jahren wurde die verschwiegene Praxis von staatlichem Hacking ins Scheinwerferlicht der Öffentlichkeit gezerrt. Dieser völlig unkontrolliert Bereich der Informationsgewinnung beinhaltet einige der aufdringlichsten Formen von Überwachung, die eine Regierung durchführen kann.
FinFisher ist eins der aggressivsten Unternehmen, die Strafverfolgungsbehörden auf der ganzen Welt mit solchen Werkzeugen beliefern. Aber ohne öffentliche Debatte und klare Gesetze, die ihren Einsatz genehmigen, sind solche Technologien eindeutig illegal. Privacy International und die EFF haben beide Klagen eingereicht, im Namen von Aktivisten, die von der äthiopischen Regierung mit FinFisher gezielt ausgespäht wurden. Viele weitere Aktivisten werden von repressiven Regimen damit überwacht worden sein. Überwachungsunternehmen wie FinFisher müssen die Verantwortung für ihre Rolle bei dieser Repression übernehmen und ihre schädlichen Praktiken beenden.
Wir hoffen darauf, dass sich in dem 40 GB Torrent noch viele weitere spannende Sachen finden lassen. Hinweise nehmen wir gerne in den Kommentaren entgegen.