ScusiBlog

background emmission of scusi.

Neue Staatliche Trojaner Entdeckt - Update

| Update ganz am Ende des Artikels | Nachdem der CCC ende letzten Jahres einen deutschen Staatstrojaner analysiert und veröffentlicht hat sind gestern und heute weitere Trojaner im staatlichen Einsatz aufgeflogen.

Gestern veröffentlichte die Nachrichtenagentur Bloomberg einen Artikel über einen Trojaner welcher im staatlichen Einsatz Menschenrechts- und Demokratie-Aktivisten in Bahrain ausspioniert hat.

Dabei handelt es sich anscheinend um einen Trojaner namens FinSpy der Firma Gamma international, wie die Leute vom CitizenLab der Universität Toronto in ihrer Analyse herausgefunden haben. Diese staatliche Malware wird im Rahmen des Produktes FinFisher vertrieben und nach allem was bekannt ist in Deutschland - genauer in München - entwickelt.

Schon vorgestern hat der russische AntiViren Hersteller Dr. Web bekannt gegeben dass sie ein weiteres Sample eines staatlichen Trojaners gefunden und analysiert haben. Das besondere an am DaVinci Trojaner ist dass dieser wohl nicht nur auf Windows Systemen - wie alle bisher aufgedeckten staatlichen Trojaner - lauffähig ist, sondern ebenso auf Mac OS X. DaVinci wird ganz offen als Malware durch die italienische Firma Hacking Team beworben und vertrieben.

Eine Sache ist jetzt schon ganz deutlich, die Hersteller staatlicher Malware nehmen den Mund recht voll bei der Bewerbung ihrer “Produkte”. So behauptet etwa Hackingteam dass ihre Malware nicht detektierbar sei. Dr. Web kommentiert dass ganz trocken wie folgt:

Despite BackDoor.DaVinci.1 developers’ claims that this malicious application can withstand any modern anti-virus program, Dr.Web for Windows and Dr.Web for Mac OS X detect and successfully remove BackDoor.DaVinci.1

Die Leute von Gamma haben sich bisher immer über ihren Konkurrenten DigiTask und ihre Fehler - welche die CCC Analyse ans Licht gebracht hat - lustig gemacht. Es stellt sich raus sie machen selber Anfängerfehler bei der Verschlüsselung. Die Analyse des CitizenLab bemerkt dazu:

In reality, these records are only partially encrypted: if the record’s length is not a multiple of 16 bytes (the AES block size), then the remainder of the bytes are written to the file unencrypted.

Ich bin gespannt, was die weiteren Analysen dieser staatlichen Malware aus Italien und Deutschland noch so zu Tage fördern werden.

Besonders der Fall aus Bahrain zeigt deutlich dass diese Software natürlich von staatlichen Stellen dazu eingesetzt wird gegen Menschen vorzugehen die sich für Demokratie und Menschenrechte einsetzten. Der Bloomberg Artikel ist sei hier noch mal nachdrücklich zur Lektüre empfohlen. In dem Artikel wird deutlich dass die staatliche Spyware weltweit eingesetzt wird. Das Internet macht es möglich. So wurde auch ein US Bürger und Aktivisten aus London durch die Behörden in Bahrain infiziert und ausspioniert.

Die Hersteller von derlei Spyware tun immer so als ob seien sie die guten und behaupten dass mit ihrer Software nur böse Terroristen und Kinderschänder ausspioniert und schließlich gefangen würden. Spätestens jetzt ist klar dass sie eher repressiven Regimen helfen die Menschenrechte und Demokratiebestrebungen ihrer Bürger unterdrücken helfen - weltweit.

Offiziell sagt die Bundesregierung sie würde sich für Demokratie und Menschenrechte einsetzten, in Wirklichkeit ist sie nicht nur untätig gegen die Verantwortlichen, sondern gewährt auch noch Bürgschaften und unterstützt damit Regime wie das in Bahrain sich mit entsprechenden Cyberwaffen - nichts anderes ist diese Malware - auszustatten. Ähnlich sieht es bei den Briten aus, die deswegen gerade von Privacy International verklagt werden.

Weblinks:

Update | 30.07.2012 Gamma, die Herstellerfirma der Malware behauptet das Bahrain sei gar nicht ihr Kunde. Und die Software sei ihnen eventuell geklaut worden. Bei Bloomberg gibt es einen Artikel darüber. Erwähnenswert daran finde ich ja dass Gamma sich immer geweigert hat ihre Geschäfte und Kundenkontakte zu kommentieren. Und jetzt plötzlich wo sie selber in einem ganz schlechten Licht dastehen werfen sie dieses Prinzip (der Nicht-Kommentierung) plötzlich über Board? Wer weiß was die noch alles über Board schmeißen wenn der Druck noch etwas größer wird?

Bisher hat Gamma auch immer darauf hingewiesen dass ihre Malware ja gegen missbrauch geschützt sei. So hat der Münch dieses Jahr auf einer Konferenz erzählt sie würden z.B. die MAC-Adresse des Zielrechners in die Malware hard-coden um sicherzustellen dass damit nur der Zielrechner und kein anderes Gerät ausspioniert wird. Mal angenommen es stimmt was Gamma sagt - was ich noch nicht so recht glauben kann - dann war das mit der MAC wohl gelogen. Vielleicht haben sie diese Möglichkeit sogar tatsächlich aber es wird nicht in jedem Fall erzwungen.

TrendMicro weist darauf hin dass der DaVinci Trojaner nicht unter dem neusten Apple Betriebssystem Mountain Lion lauffähig ist. Komischer Zufall dass der Trojaner genau dann öffentlich bekannt wird wenn das neue System raus kommt auf dem die Software nicht mehr läuft. End Update | 30.07.2012