Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

June 11 2013

Tailored Access Operations: Die NSA klaut jede Stunde zwei Millionen Gigabyte an Daten aus gehackten Netzen

Der amerikanische Geheimdienst hat eine Gruppe, die in großem Stil in fremde Rechner und Netzwerke eindringt und Daten kopiert. Das berichtet Bloomberg unter Berufung auf Geheimdienst-Quellen sowie zwei ehemalige NSA-Chefs. Das Team “Tailored Access Operations” erbeutet zwei Millionen Gigabyte an Daten – pro Stunde.

Am Freitag berichteten wir, dass in den geleakten Dokumenten von Edward Snowden auch die Bestätigung war, dass US-Behörden Hackerangriffe auf der ganzen Welt durchführen. Schon zwei Wochen vorher berichtete Michael Riley in Bloomberg Businesweek Details: How the U.S. Government Hacks the World.

Demnach stützt sich auch die NSA neben klassischer “Fernmelde- und elektronischer Aufklärung” immer mehr auf “elektronische Daten im Ruhezustand”, also Daten auf fremden Rechnern, in die man eindringt. John Michael McConnell, ehemaliger Direktor der National Security Agency (NSA) und “Direktor Nationale Nachrichtendienste” unter Bush, sagt, dass die meisten Informationen von Obamas Geheimdienst-Briefings mittlerweile von Cyber-Spionen kommen:

Es ist mindestens 75 Prozent, Tendenz steigend.

Auch Michael Hayden, ebenfalls ehemaliger Direktor der NSA und der CIA gibt zu:

Man wartet nicht, bis sich jemand entscheidet, Informationen in Elektronen und Photonen zu verwandeln und abzuschicken. Man geht dahin, wo die Informationen gespeichert sind und extrahiert die Informationen aus dem Netzwerk des Gegners. Wir sind am besten darin, das zu tun. Punkt.

Die Hacker der NSA gehören zur geheimen Gruppe mit dem Namen “Tailored Access Operations”:

[Das Team] sammelt Unmengen von Informationen über finanzielle Netzwerke von Terroristen, internationale Geldwäsche- und Drogen-Operationen, die Bereitschaft ausländischer Streitkräfte und sogar interne politischen Querelen potentieller Gegner.

Dabei werden unvorstellbar viele Daten erbeutet:

Laut einem ehemaligen Beamten wuchs die Menge der Daten, die die Einheit aus Computernetzen in Übersee oder während der Reise durch das Internet abfischt, auf erstaunliche zwei Petabyte pro Stunde – das sind fast 2,1 Millionen Gigabyte, das Äquivalent von Hunderten Millionen Seiten Text.

Auf die Chinesen ist man trotzdem sauer. Die sind nämlich unfair machen auch Wirtschaftsspionage. Ja nee, ist klar.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

July 26 2012

Gamma FinFisher: Weltweit gegen Aktivisten eingesetzter Staatstrojaner enttarnt und veröffentlicht

finspyDie kommerzielle Spionage-Software FinFisher der deutsch-britischen Firma Gamma International ist offenbar enttarnt und im Internet veröffentlicht. Aktivisten vom Citizen Lab haben Exemplare des Trojaners analysiert, den sie für FinSpy halten. Vor wenigen Monaten wurden damit die Geräte bahrainischer Demokratie-Aktivisten infiziert und deren Kommunikation dann nach Bahrain übermittelt.

Über die Firma Gamma und ihr Produkt FinFisher hat netzpolitik.org schon wiederholt berichtet. Von der Trojaner-Produktfamilie, die man an Staaten verkauft, gibt es auch ein Werbe-Video. Nicht nur Ägypten und Bahrain kauften die Überwachungs-Software, auch das Bundeskriminalamt testet ihn als neuen Staatstrojaner für Deutschland.

Der Bloomberg-Journalist Vernon Silver hat nun gleich mehrere live eingesetzte Trojaner-Exemplare erhalten, die ein Teil von FinFisher sein sollen. Damit sollten die Geräte von Demokratie-Aktivisten in Washington, London und Manama, der Hauptstadt Bahrains infiziert werden. Mittlerweile sind die Samples auch als Download verfügbar.

Das Citizen Lab hat die Dateien auseinander genommen und eine technische Analyse veröffentlicht (PDF). Die Software verwendet die Strings “Finspy4.01″ und “Finspyv2″ und kommuniziert mit den Domains tiger.gamma-international.de und ff-demo.blogdns.org. Die Funktionen ähneln Gammas Datenblättern über FinFisher. Daher kommt das Analyse-Team zu dem Fazit, wahrscheinlich ein Finspy-Produkt der Gamma-Produktpallette FinFisher gefunden und analysiert zu haben.

Der analysierte Trojaner wurde per E-Mail an ausgewählte Aktivisten verschickt, die sich mit Bahrain beschäftigen. In harmlos aussehenden E-Mail-Anhängen versteckten sich ausführbare Dateien. Das Öffnen der Bilder war zwar möglich, gleichzeitig installierte sich der Trojaner jedoch auf der Festplatte und nistete sich ins System ein. Der Analyse nach tat der Trojaner einiges zur Verschleierung, er umging Viren-Scanner und crashte Debugger.

Einmal infiziert, sammelte die Software eine Reihe von Daten auf den Zielrechner, darunter Screenshots, die getippten Tasten via Keylogger, Passwörter, Aufzeichnungen von Skype-Gesprächen und gesendete Dateien. Diese wurden verschlüsselt gespeichert und an den Server mit der IP-Adresse 77.69.140.194 geschickt, die dem wichtigsten Telekommunikationsunternehmen in Bahrain gehört. Dieser “Command and Control”-Server ist noch aktiv und antwortet auf HTTP-Anfragen mit “Hallo Steffi”.

Gamma selbst wollte sich gegenüber netzpolitik.org und Bloomberg nicht äußern. Das britische Büro von Gamma International verweigerte eine Stellungnahme und verwies uns auf die Mail-Adresse von Firmenchef Martin J. Muench. Dieser hat leider noch nicht geantwortet. Die Webseite vom Münchener Büro von Gamma ist derzeit down, an der Telefonnummer aus dem Whois geht jemand anderes ran, eine funktionierende Nummer war auf Anhieb nicht zu finden. Im Buggedplanet.info Wiki stehen weitere Informationen, aber leider auch keine deutsche Telefonnummer. Die Botschaft von Bahrain konnte ebenfalls nichts dazu sagen und will unsere E-Mail weitergeben.

Neben einer Verifizierung der Echtheit hätte netzpolitik.org Gamma auch gerne gefragt, wie man dort zu diesen Einsätzen der eigenen Software steht. Man redet sich gerne aus der Verantwortung, dass man nur an Regierungen verkauft und diese damit nur Kriminelle verfolgen. Im aktuellen Beispiel wurden gezielt politische Aktivisten überwacht, die teilweise noch nicht einmal in Bahrain leben oder bahrainische Staatsbürger sind. Keiner der Betroffenen weiß von polizeilichen Ermittlungen oder gar Anklagen gegen sich.

Seit Jahren werden wirksame Export-Verbote für solche Überwachungstechnologien gefordert. Die britische Menschenrechtsorganisation Privacy International will deswegen jetzt die britische Regierung verklagen. Die deutsche Bundesregierung unterstützt solche Exporte sogar noch mit Hermes-Bürgschaften.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl