Gamma FinFisher gehacktWerbe-Videos von Exploits und Quelltext von FinFly Web veröffentlicht

Ein Hacker behauptet, ein Netzwerk des Trojaner-Herstellers Gamma International gehackt zu haben und hat 40 Gigabyte Daten veröffentlicht. Schon gestern wurden neue Dokumente veröffentlicht, seitdem folgten weitere, unter anderem Quelltext von „FinFly Web“. Malware-Forscher und Menschenrechtler freuen sich über diese Daten, Gamma selbst verweigert jeden Kommentar.

Surveillance made in Germany – FinFisher-Spionage-Software

There is also an adapted english version of this posting.

Gestern haben wir berichtet, dass der Twitter-Account @GammaGroupPR interne Dokumente der Trojaner-Produktfamilie FinFisher/FinSpy aus dem Hause Gamma veröffentlicht. Seitdem ist ein Posting auf dem Social News Aggregator reddit aufgetaucht, in dem jemand mit dem selben Username postet:

[…] Vor ein paar Tagen habe ich Netzwerke von Gamma gehackt und 40 GB Daten kopiert. Ich habe harte Beweise, dass sie wussten, dass sie ihre Software an Leute verkauft haben (und noch immer verkaufen), die damit Aktivisten in Bahrain angreifen, zusammen mit einer ganzen Menge anderer Sachen in diesem 40GB.

Hier ist ein Torrent mit allen Daten. Bitte ladet sie und seedet sie weiter. Hier ist ein Twitter-Feed, in dem ich einige der interessanten Sachen poste, die ich dort finde. Dabei fange ich langsam an und steigere mich langsam, statt all die schlimmste Scheiße auf einmal zu veröffentlichen.

Falls dieser Tweet stimmt, handelt es sich dabei um den Server, der unter finsupport.finfisher.com erreichbar war und demnach mittlerweile abgeschaltet wurde.

Leider ist die originale Torrent-Datei derzeit nicht downloadbar, auf torrentproject.com scheint es einen Mirror zu geben. (Hier bei uns.)

In der Zwischenzeit sind weitere Dateien aus diesem Archiv auf dem Twitter-Account veröffentlicht wurden, die wir wieder gerne spiegeln.

FinSploit Sales

Das ist einmal eine ZIP-Datei zu „FinSploit Sales“ mit einer Textdatei und drei Videos.

Die README enthält diese Frequently Asked Questions:

Q: Can you supply a list of the current exploits?
A: Yes but we need to do this individually for each request as the available exploits change on a regular basis.

Q: Can we name the supplier?
A: Yes you can mention that we work with VUPEN here

Q: How does the customer get the exploits?
A: They will get access to a web-portal where they can then always download the available exploits

Q: Can this be used to deploy other trojans than FinSpy?
A: Yes, any exe file can be sent

Q: Which Operating Systems do you cover?
A: Currently the focus is on Windows Vista/7. Some exploits for XP are also available. At the moment there are no 0 day exploits for OSX, Linux or mobile platforms.

Damit ist die enge Zusammenarbeit von Gamma/FinSpy mit dem französischen Exploit-Hersteller VUPEN wohl belegt.

Die Begrenzung auf Windows 7 und Vista erscheint veraltet. Bereits vor zwei Jahren haben wir berichtet, dass FinSpy Mobile auch für alle mobilen Systeme (also iOS, Android, BlackBerry, Windows Mobile und Symbian) existiert. Und letztes Jahr haben interne Folien bestätigt, dass FinSpy alle großen Betriebssysteme (Windows, Linux und Mac OS X) infizieren kann. Die jetzt veröffentlichten Dateien wurden, sofern sie unmodifiziert sind, im Oktober 2011 entstanden, wenige Tage vor der ISS (Intelligent Support Systems) World in den USA, dem „Wiretappers Ball„. Wahrscheinlich war das der damalige Stand zur Präsentation auf der Messe und seitdem wurde die Produktpalette auf alle gängigen Systeme ausgeweitet.

Hier drei Videos, in denen damals Lücken in drei gängigen Software-Typen ausgenutzt wurden:

Windows 7 SP1 – Acrobat Reader PDF Exploit

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Windows 7 SP1 – Browsers Exploit

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Windows 7 SP1 – Microsoft Office 2010 DOC-XLS Exploits

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Quellcode von FinFly Web

Der zweite große Coup ist Quellcode von FinFly Web, der auf dem Hosting-Dienst für Software-Entwicklungsprojekte GitHub gelandet ist. Letztes Jahr beschrieben wir FinFly Web so:

Mit FinFly Web lässt sich „konfigurierbare Software“ heimlich auf Zielsysteme einspeisen, indem sie „in Webseiten integriert“ wird. Die einfachste Übung hier ist die Erstellung spezieller Webseiten, die ausgewählte User infiziert, die mittels Spear Phishing auf die Seite geleitet werden. Gamma hat demnach Exploits für alle gängigen Browser und verschiedene Module zur Infektion.

WikiLeaks hatte in den SpyFiles 2011 ebenfalls eine Broschüre veröffentlicht.

Malware-Forscher: „Dieser Kerl ist ein Malware-Entwickler“

Raphaël Vinot, Malware-Researcher aus Frankreich, hat seitdem ein paar der Java-Klassen dekompiliert, um den Code verständlicher zu machen. Gegenüber netzpolitik.org erklärt er (als er selbst, nicht seine Arbeitgeber):

Ich habe gestern einen sehr schnellen Blick auf das Repository geworfen und ein paar Klassendateien dekompiliert. Die Webseite ist eine Testseite, beispielsweise um neuen Kunden zu zeigen, was sie können.

Ich glaube nicht, dass es in dem Code etwas gibt, das besonders interessant ist. Aber es ist eine sehr gute Plattform, um nicht-technischen Menschen zu zeigen, was Angreifer tun können und wie das in freier Wildbahn aussieht.

Ich persönlich werde den Quellcode bei Cyptoparties wiederverwenden.

Das interessanteste, was ich rausgefunden habe, ist die Datei SearchEnhancer.java, in der die Webseite www.codito.de referenziert ist. Diese leitet auf www.mushun.de, und dort steht im Impressum Martin J. Muench, der bisher bei der Gamma GmbH war und auch als Sprecher aufgetreten ist.

Dieser Kerl ist ein Malware-Entwickler und muss auch so behandelt werden. Ich hoffe sehr, dass die Liste der Kunden demnächst bekannt wird. Am wichtigsten ist aber, dass Möglichkeiten zur Erkennung entwickelt und veröffentlicht werden, um sie mit Firmen und anderen Partnern zu teilen, damit FinFisher „in the wild“ erkannt werden kann.

FinFisher: „Wir wollen dazu keine Stellung nehmen.“

Natürlich haben wir auch wieder bei der FinFisher GmbH angerufen und ein paar Fragen gestellt. Wie gestern lautet die Antwort: „Wir wollen dazu keine Stellung nehmen.“ Immerhin hat man sich diesmal am Telefon gleich mit „FinFisher“ gemeldet, statt es erst zu verneinen.

Danach gefragt, ob Martin Münch zu sprechen wäre, wurde erneut abgewiegelt:

netzpolitik.org: Ist der Herr Münch zu sprechen? Mit dem war ich bereits in Kontakt.
FinFisher GmbH: Mit dem waren sie bereits in Kontakt?
netzpolitik.org: Ja, das ist aber bereits eine Weile her, letztes Jahr oder so.
FinFisher GmbH: Herr Münch ist nicht im Haus.
netzpolitik.org: Gar nicht mehr oder nur jetzt im Moment nicht?
FinFisher GmbH: […]
netzpolitik.org: ?
FinFisher GmbH: Jetzt gerade ganz sicher nicht.

Uns ist zu Ohren gekommen, dass Martin ‚MJM‘ Münch gar nicht mehr bei Gamma/FinFisher arbeitet. Wer dazu genauere Informationen hat: immer her damit!

Menschenrechtler: „solche Technologien eindeutig illegal“

Eric King

, Stellvertretender Direktor der international tätigen Menschenrechtsorganisation Privacy International, kommentiert gegenüber netzpolitik.org:

In den letzten Jahren wurde die verschwiegene Praxis von staatlichem Hacking ins Scheinwerferlicht der Öffentlichkeit gezerrt. Dieser völlig unkontrolliert Bereich der Informationsgewinnung beinhaltet einige der aufdringlichsten Formen von Überwachung, die eine Regierung durchführen kann.

FinFisher ist eins der aggressivsten Unternehmen, die Strafverfolgungsbehörden auf der ganzen Welt mit solchen Werkzeugen beliefern. Aber ohne öffentliche Debatte und klare Gesetze, die ihren Einsatz genehmigen, sind solche Technologien eindeutig illegal. Privacy International und die EFF haben beide Klagen eingereicht, im Namen von Aktivisten, die von der äthiopischen Regierung mit FinFisher gezielt ausgespäht wurden. Viele weitere Aktivisten werden von repressiven Regimen damit überwacht worden sein. Überwachungsunternehmen wie FinFisher müssen die Verantwortung für ihre Rolle bei dieser Repression übernehmen und ihre schädlichen Praktiken beenden.

Wir hoffen darauf, dass sich in dem 40 GB Torrent noch viele weitere spannende Sachen finden lassen. Hinweise nehmen wir gerne in den Kommentaren entgegen.

30 Ergänzungen

  1. Gleich mal heute nach Feierabend mirrorn und seeden.
    Gamma International ist so der Verbrecherverein, die verdienen es richtig, wenn es denen schadet.
    Habe gerade erst ne Doku über den immernoch laufenden Aufstand in Bahrain gesehen,
    auch wenn unsere Medien nicht mehr darüber berichten und er als niedergeschlagen gilt,
    viele Bahrainer haben ihre Arbeit deswegen verloren und haben nichts anderes mehr als die Demonstrationen. Gamma interessiert sich nicht dafür, was mit deren Software passiert,
    wer eingeknastet oder verdroschen wird, weil er sich gegen das Regime auflehnt.

  2. Wäre es theorethisch möglich den Torrent anonym runterladen und zu seeden ? Gibts nen Torrentclient der sowas über TOR oder I2P macht ?

    Ich meine ja nur, wenn jemand rein theorethisch vorhätte den Content runterzuladen und zu seeden. Nicht das man da wegen verbreiten von „Hackertools“ oder wegen „Urheberrechtsverletzung“ verklagt wird oder so.

    1. Ich würde einen VPN verwenden. z.B. Mullvad oder IPredator.

      Kostet Geld, ist aber allgemein eine gute Idee, auch für das alltägliche Surfen und vor allem in öffentlichem Wi-Fi.

  3. Haha. Läuft bei reddit unter /r/Anarchism. Nice! Aber es gäbe wahrscheinlich „bessere“ subs, die eine höhere Reichweite hätten.

  4. Die Firma als solche sowie alle Angestellten anzeigen. Verbrechen gegen die Menschlichkeit. Oder zumindest Beihilfe zu Mord und schwerer Körperverletzung sollte inzwischen locker drin sein.

  5. Wer dazu genauere Informationen hat: immer her damit!

    Erinnert mich irgendwie alles (also von Strukturen her) an diese „anti-piracy“-Klitschen (Digiprotect, Logistep, … , etc.).

    Es juckt wieder… Lasst uns die platt machen! ;)

    Bis später mit den gewünschten Infos, Baxter

  6. Im UserGuide, der gestern gepostet wurde ist auch ein interessanter Pfad zu finden: /home/xaitax

    Wenn man dem etwas hinterher googled findet man Alexander Hagenah und die Suchergebnisse und seine Homepage sehen sehr danach aus, als würde er auch für Gamma arbeiten.

  7. SObald der download fertig ist, pack ich das teil zu mega.co.nz, dann gehts fixer mit der analyse

  8. Leute ich empfehle euch ALLE Dokumente von Netzpolitiker und dem Twitter Account da in einen Extra Ordner zu speichern damit ihr das als ewiges Backup habt. Irgendwann wird der Twitter Account samt allen Infos und Inhalten gelöscht. Dropxbox blockiert schon nach paar Tagen alles. Diese feigen Widerlinge !

    Geil wärs wenn die 40 GB an Daten irgendwo geposten werden würden. Ich würde von mir aus die ganze Nacht aufbleiben und mir das runterziehen bevor es wieder weg wäre. Naja alternativ könnte Wikileaks oder Greenwald das auf ihren Seiten veröffentlichen. Das wird aber richtig Traffic ficken :D Daher am besten nen Free Hoster oder so.

    Macht euch jedenfalls ein Backup von den ganzen Dateien. Hier ist schon mal mein Beitrag für das Backup des Twitter Accounts (Stand 6. August 2014)

    http://freze.it/i5Y
    https://archive.today/79oPh
    http://www.peeep.us/3d71e4b5
    http://w01.freezepage.com/a/14073/53191TYVRZPTOJM/0

    1. Rufst du hier etwa direkt zu Straftaten auf? Bitte achte mal auf deine Wortwahl oder willst du den Betreibern von netzpolitik (und ggf. auch dir) unbedingt unnötigen Ärger einhandeln?

    2. Ich würde von mir aus die ganze Nacht aufbleiben und mir das runterziehen bevor es wieder weg wäre.

      Dir ist schon klar, daß ein Mensch mit Hirn vulgo non-„digital native“ einfach seine client-SW mit dem torrent füttert, danach in’s Bett geht und komplett darauf verzichtet, sich sinnfreierweise die ganze Nacht lang einen Fortschrittsbalken anzusehen?

      Nee?

      Gern‘ geschehen.

  9. Ich habe wichtige und persönliche Daten mittlerweile physisch vom Netz getrennt und bearbeite diese auch offline. Die einzige Möglichkeit sich noch vor solchen Übergriffen zu schützen.

  10. Martin J. Münch wird nicht mehr als Geschäftsführer im Impressum der FinFisher Labs GmbH (vormals: Gamma International GmbH) geführt, aber sehr wohl noch als Geschäftsführer der MuShun GmbH (vormals: Martin J. Münch GmbH). Der neue Geschäftsführer der FinFisher Labs GmbH soll laut Veröffentlichung des Registergerichts München vom 22.1.2014 ein gewisser Daniel Maly, geboren 31.07.1972, aus München sein. Beide Firmen verheimlichen übrigens ihren tatsächlichen Firmensitz, da es sich bei der angegebenen Anschrift um eine Anwaltskanzlei handelt.

    1. Unternehmensregister findet einen Eintrag vom 06.02.2014 der zwei anderslautende GF ausweist.

    2. Handelt es sich möglicherweise um Tarnfirmen des BND? Also sowohl die FinFisher GmbH selbst, wie auch verschiedene verbunde Firmen/Lizenznehmer? 33,2 GB der gehackten Daten sind verschlüsselt, diese sind wohl sämtlich mit einem PGP Key alfons.rauscher@vervis.de zu entschlüsseln, es handelt sich also wohl um einen Mitarbeiter von FinFisher. Laut Wikileaks hat die Vervis GmbH 2010 von der Gamma International GmbH Überwachungstechnik erworben. Sitz der Vervis COMINT Services GmbH ist Rosenheim, keine 10km von Bad Aibling entfernt, dem Hauptsitz des BND. Dass dieser zahlreiche Tarnfirmen betreibt, die teilweise auch gute Gewinne abwerfen, ist schon länger bekannt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.