Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Kaspersky findet Spionagesoftware – vermutlich aus einem spanischsprachigen Land

Die russische Sicherheitssoftware-Firma Kaspersky Lab hat gestern bekanntgegeben, Schadprogramme gefunden zu haben, die seit 2007 Cyberspionage-Aktivitäten durchführen. In der Zusammenfassung von Kaspersky ist von mehr als 380 Betroffenen in 31 Ländern die Rede. Zu den Zielen gehörten gleichermaßen Regierungsinstitutionen, diplomatische Einrichtungen, Industriekonzerne, Privat- und Forschungsunternehmen sowie Aktivisten.

Hat die Software ein System über eine Phishing-Webseite wie Kopien von The Guardian oder El País befallen, kann sie den W-Lan-Verkehr und Skype-Gespräche abhören, Tastatureingaben erkennen, Screenshots machen und sämtliche Dateioperationen überwachen. Darüberhinaus wird eine große Anzahl Dateien von den betroffenen Systemen gesammelt, wie PGP-Schlüssel und VPN-Konfigurationen.

Kaspersky hat das Malware-Toolkit “The Mask” getauft. Das geschah in Anlehnung an die Bezeichnung des Haupt-Backdoor-Programmteils, der intern als “Careto” referenziert wird, was im Spanischen “Maske” bedeutet. Aufgrund dessen, weiterer Codefragmente und der Tatsache, dass die Phishing-Seiten spanischsprachige Inhalte enthielten, geht Kaspersky davon aus, dass die Software von spanischsprachigen Entwicklern stammt. Auch der in den Konfigurationsdateien gespeicherte RC4-Schlüssel “Caguen1aMar” entspricht der spanischen Version des Fluchs “Scheiße!”

Darüberhinaus ist das Funktionsprinzip sehr fortgeschritten, was erklärt, warum die Angriffe über einen so langen Zeitraum verborgen blieben. Die Kombination aus Root- und Boot-Kit wurde für verschiedene Systeme angepasst und Zugriffsregeln so gesetzt, dass ein Blick auf das Programm verwehrt blieb. Ebenso wurden Logdateien, die Spuren seiner Existenz verraten könnten, automatisch gelöscht. Ganz fehlerfrei wurde aber auch hier nicht vorgegangen, denn es wurden noch hardgecodete Debug-Infos gefunden, wie dieser absolute Pfad auf dem Entwickler-Computer:

c:\Dev\CaretoPruebas3.0\release32\CDllUninstall32.pdb

Aufgrund der ungewöhnlichen Professionalität und der Sprachindizien geht Kaspersky davon aus, dass die Angriffe von einem spanischsprachigen Nationalstaat ausgehen. Soetwas ist bisher noch nie vorgekommen beziehungsweise wurde noch nie entdeckt. Vorerst ist das aber nur eine Vermutung und bedarf weiterer faktischer Untermauerung. In einem Bericht heißt es, dass eine absichtliche Täuschung nicht ausgeschlossen werden könne und davon abgesehen Spanisch in 21 Ländern der Welt gesprochen werde, der Kreis der möglichen Verdächtigen demnach groß sei.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

January 21 2014

Vietnam bekämpft Blogger nicht mehr nur im eigenen Land

Sucht man auf netzpolitik.org nach dem Schlüsselwort “Vietnam“, bekommt man primär Artikel über die Einschränkung der Meinungsfreiheit im Land und die Verhaftung oder Einschüchterung von Bloggern, weil sie regimekritische Artikel veröffentlicht haben. Auch der Report Bloggers and Netizens Behind Bars: Restrictions on Internet Freedom in Vietnam zeigt auf, wie das Recht auf freie Meinungsäußerung im Land täglich mit Füßen getreten wird.

Jetzt sind Fälle bekannt geworden, in denen sich die Aktivitäten Vietnams, kritische Stimmen zu unterdrücken, auch gegen Personen im Ausland gerichtet haben: Gegen einen Reporter der Nachrichtenagentur Associated Press, einen vietnamesischen (aber in Frankreich lebenden) Mathematikprofessor und Aktivisten sowie Mitglieder der Electronic Frontier Foundation Amerika. In allen Fällen geschah die versuchte Infiltration der Rechner auf die selbe Art und Weise, wie Mitglieder der EFF herausgefunden haben:

  • Die Zielperson bekommt eine Mail mit interessantem Inhalt, z.B. einer Einladung zu einer Konferenz
  • In der Mail ist ein Anhang oder Link enthalten – der führt aber nicht zum erwarteten Inhalt, sondern öffnet stattdessen eine HTML-Anwendung
  • Die entpackt eine *.doc und eine *.exe-Datei auf die Festplatte
  • Das Öffnen des Word-Dokuments startet gleichzeitig die Ausführung der *.exe, die für die Installation der Malware zuständig ist
  • Nun stellt die installierte Malware automatisch bei jedem Start eine Verbindung zu einem Kontrollserver her

Ist die Verbindung erst hergestellt, können beispielsweise Passwörter mitgelesen werden – was unter anderem vollen Zugriff auf Nachrichten und Blogs der Betroffenen bedeutet. So wie beim Angriff auf die vietnamesische kritische Nachrichtenplattform Ba Sam im März 2013, die zunächst vom Netz genommen wurde und auf der danach gefälschte, rufschädigende Informationen im Namen der Autoren veröffentlicht wurden.

Das Problem mit dieser Taktik ist, dass schwer nachzuweisen ist, woher die Angriffe kommen. Denn sicher ist es illegal, die Computer anderer mit Malware zu infiltrieren und man könnte rechtlich dagegen vorgehen – aber wer kann mit Sicherheit bestätigen, dass wirklich die vietnamesische Regierung dahinter steckt, auch wenn alle Zeichen dafür sprechen? Das beschneidet leider die Hoffnungen, die Situation in den Griff zu bekommen und dementsprechend pessimistisch klingt das Abschlussstatement Dieu Hoangs, einem Informatiker, der sich aus Australien für vietnamesische Onlineaktivisten einsetzt:

Was Zeit, Aufwand, Personenanzahl und Geld angeht, können wir uns nicht mit ihnen messen. Nach einer Weile werden wir ausgebrannt sein. Sie bremsen die Menschen, frustrieren sie, flößen ihnen Angst ein. Sie werden dafür sorgen, dass immer weniger Menschen der Welt ihre Meinung mitteilen.

 

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 25 2013

Citizen Lab Bericht: Malware Attacken gegen die syrische Opposition

Die syrische Opposition, im nun über zwei Jahre andauernden syrischen Bürgerkrieg, sieht sich dauernden Cyberangriffen von Pro-Regierungs-Truppen ausgesetzt. Das berichtet das Citizen Lab in seinem neuesten Beitrag “A Call to Harm: New Malware Attacks Target the Syrian Opposition”. In diesem Bericht stellt das Citizen Lab zwei erst kürzlich bekannt gewordene Angriffe durch Malware vor, mit denen die Computer der Opposition abgehört werden können.citlab2

Beim ersten beschriebenen Angriff handelt es sich um Malware, welche mit Hilfe einer infizierten Kopie des Programms Freegate auf den jeweiligen Rechner installiert wird. Freegate ist eigentlich ein Programm, mit dessen Hilfe Zensurmaßnahmen im Internet umgangen werden können. Das Programm wurde ursprünglich für den chinesischen Markt entwickelt, wird mittlerweile aber auch häufig in Syrien eingesetzt. Die Angreifer infizierten den Installer des Programms und verteilten den Downloadlink zum infizierten Programm in privaten sozialen Netzwerken.

Nachdem das Programm heruntergeladen und entpackt wurde, kommt die Datei „VPN-Pro.exe“ zum Vorschein. Die Malware ist dabei in .NET geschrieben, was laut Citizen Lab bereits bei zuvor entdeckter Malware in Syrien der Fall war. Nach dem Ausführen der „VPN-Pro.exe“ wird das Opfer zunächst mit der Endnutzerlizenz (EULA) konfrontiert. Nachdem diese vom Nutzer bestätigt wurde startet sich das Programm von selbst und fordert dazu auf die Firewall zu entsperren. Kurz danach erscheint die Mitteilung, dass ein Update für Freegate verfügbar sei.

Währen dieses Vorgangs wurde im Hintergrund bereits die Malware in Form einer gefälschten svchost.exe-Datei installiert. Diese Installation findet statt, egal ob der Nutzer Freegate vollständig installiert oder die Installation vorzeitig abbricht.

citlab3

Eine Untersuchung der „svchost.exe“ förderte mehrere Verweise zu “ShadowTech Rat.” zu Tage.

citlab4

Bei Betrachtung des Netzwerksverkehrs wurde später auch eine Paketerfassung über TCP auf Port 1321 festgestellt.

“ShadowTech Rat.” ist ein Trojaner, welcher den Fernzugriff auf fremde Rechner ermöglicht. Auf YouTube sind Videos zur Funktionsweise des Tools zu sehen. Die Einsatzmöglichkeiten des Tools reichen vom Mitlesen von Passwörter über die Aktivierung der Webcam des fremden Rechners.

Auch wenn die infizierte „svchost.exe“ sowie die „VPN-Pro.exe“ bereits als Viren an VirusTotal gemeldet wurden, ist die Erkennungsrate von Virenprogrammen zur Zeit noch sehr dürftig. Die „svchost.exe“ wurde bei einem Test vom Citizen Lab von nur 4 von 47 getesteten Programmen erkannt, die „VPN-Pro.exe“ von 5 von 47 Programmen.

Der zweite Angriff den das Citizen Lab in den letzten Wochen beobachten konnte lief nach einem ganz ähnlichen Schema ab. Dabei wird anfangs eine E-Mail von einer mehr oder weniger unauffälligen Adresse an die Opfer versandt.

citlab5

Die E-Mail enthält dabei einen Text, ein Bild (welches hier nicht dargestellt wird) sowie einen Anhang. Der Text weist dabei auf ein Video von Scheich al-Arur, einem sunnitischen Religionslehrer, hin, welcher zu einem heiligen Krieg gegen Baschar al-Assad und die Hisbollah aufrufe. Dem Nutzer wird dabei suggeriert, dass die angehängte Datei im zip-Format einen Link zu diesem Video enthalte. Das Citizen Lab hat verschiedene Arten solcher E-Mails entdeckt, doch die Infizierung des Computers verläuft immer nach folgenden Schema.

Nachdem die zip-Datei entpackt wurde kommt eine Windows-Shortcut-Datei mit der Endung *.lnk zum Vorschein. In dieser Datei immer eine bestimmte URL eingebettet.

citlab6

Beim Ausführen dieser Datei wird das Opfer dementsprechend auf eine Webseite geleitet. Je nachdem welche E-Mail an das Opfer versendet wurde, bekommt dieses entweder ein Video von Scheich al-Arur auf Youtube oder ein Video von AlKalima Online zu sehen. Während der Nutzer jedoch das Video schaut wird im Hintergrund eine php-Datei ausgeführt, welche eine infizierte Datei auf den Computer lädt. Diese Datei fügt darüber hinaus einen Eintrag in der Registry hinzu, damit die Malware einen Neustart des Systems überlebt.

citlab7

Wenn die Malware installiert ist, kommuniziert diese mit einem C2 Server unter der Domain “tn5.linkpc.net”. Diese Domain leitet die Anfragen weiter zu einem Server welcher von SyriaTel betrieben wird. Von dort versucht die Malware die Datei „123.functions“ nachzuladen. Auch wenn dieser Download im Versuch vom Citizen Lab fehlschlug, handelt es sich scheinbar aber um eine bereits bekanntes Verfahren.

Diese beiden Beispiele, welche aus den ersten Juniwochen stammen, zeigen auf, wie einfach es scheinbar ist, fremde Computer mit Spionagesoftware zu infizieren. Entscheidend hierbei ist jedoch immer die Gutgläubigkeit der Nutzer. Was in diesen Fällen also am wichtigsten scheint, ist die Aufklärung der syrischen Bevölkerung.

Der vollständige Artikel mit weiteren Einsichten und Erklärungen ist beim Citizen Lab zu finden oder hier als pdf herunterzuladen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

April 02 2013

Citizen Lab Bericht: Tibetische Aktivisten erneut mit gezielten Android-Trojanern ausspioniert

Android Berechtigungen der richtigen und der infizierten App.

Android Berechtigungen der richtigen und der infizierten App.

Tibetische Aktivisten wurden bereits mit mehreren Android-Trojanern gezielt angegriffen und ausspioniert. In einem neuen Bericht analysiert das Citizen Lab einen Trojaner, der Kontakte, Anruflisten und SMS-Nachrichten abhört. Staatliche Trojaner existieren für alle verbreiteten Betriebssysteme, der Infektionsweg ist dabei häufig per E-Mail.

Letzte Woche berichtete Kaspersky Lab, dass tibetische Aktivist/innen gezielt mit Trojanern für das mobile Betriebssystem Android ausspioniert wurden. Jetzt veröffentlichte das kanadische Citizen Lab einen weiteren detaillierten Bericht über gezielte Android-Trojaner gegen Tibeter.

Im zentralasiatischen Tibet gibt es oft nur einen eingeschränkten oder gar keinen Zugang zu Googles App-Store “Google Play”. Viele Tibeter installieren sich daher Android-Apps aus anderen Quellen, so werden diese z.B. gerne als APK-Dateien (Android Package) per E-Mail verschickt. Eine der gerne genutzten und versendeten Apps ist KakaoTalk, ein kostenloser Messaging-Dienst und eine Alternative zu WeChat, das mit der chinesischen Regierung kooperiert.

Im Dezember schickte ein befreundeter “IT-Security Experte” einem Abgeordneten des tibetischen Exilparlaments die richtige App und Installations-Hinweise per E-Mail. Im Januar erhielt eine “hochrangige politische Figur in der tibetischen Gemeinschaft” eine fast identische E-Mail. Diese hatte dem Anschein nach den selben Absender, kam aber in Wahrheit von einem GMX-Account. Der Text in der Mail war der selbe, aber die angehängte App war mit einem Trojaner infiziert.

Einmal installiert, sammelte die App in regelmäßigen Abständen die Kontakte des Benutzers, Anruflisten, SMS-Nachrichten und Informationen über die Konfiguration des Mobilfunk-Netzwerks. Darüber hinaus kommunizierte die App regelmäßig mit dem Command-and-Control-Server “android.uyghur.dnsd.me”, wobei versucht wurde, den Datenverkehr aussehen zu lassen wie den der chinesischen Suchmaschine Baidu. Der C&C-Server teilte dem Trojaner dann mit, wo er die abgeschnorchelten Daten hochladen soll.

Schließlich fing die Trojaner-App auch spezielle SMS-Nachrichten mit bestimmten Codes ab, woraufhin Informationen über die Funkzelle und das Mobilfunk-Netzwerk zurückgeschickt wurden, ohne dass die Anwenderin von diesen SMS etwas mitbekommt. Diese Informationen sind für einfache Online-Kriminelle wenig hilfreich, daher ist es vorstellbar, dass die Angreifer mit einem Mobilfunk-Anbieter zusammen arbeiten können. Der Citizen Lab hält sich vornehm zurück, China als staatlichen Akteur hinter den Angriffen namentlich zu benennen, angesichts der Auseinandersetzungen um die tibetische Unabhängigkeit liegt die Vermutung jedoch nahe.

Dieser Bericht zeigt erneut, dass staatliche Trojaner zur Überwachung politischer Gegner keineswegs nur ein paar unsichere Windows-Computer betreffen. Auch sie Staatstrojaner-Suite “made in Germany” FinFisher/FinSpy existiert für alle möglichen Zielsysteme: darunter Windows, Mac OS X, Linux, iOS, Android, BlackBerry, Windows Mobile und Symbian. Die aktuelle Schadsoftware wurde übrigens bis zur Veröffentlichung von keiner der drei großen Android-Antivirenprogramme erkannt.

vgwort pixel

flattr this!

August 09 2012

Gamma FinFisher: Neue Analyse des Staatstrojaners deutet auf weitere Kunden hin

Der Spionage-Software FinFisher wird möglicherweise auch in Dubai, Katar, Mongolei und Indonesien eingesetzt. Das geht aus weiteren Analysen des vor zwei Wochen enttarnten Staatstrojaners hervor. Auch in Europa wurden Server entdeckt, die möglicherweise als Kommandozentralen für die Software der deutsch-britischen Firma Gamma International dienen.

Vor zwei Wochen haben Aktivisten vom Citizen Lab die Analyse eines Trojaners veröffentlicht, den sie für das Produkt FinFisher der Firma Gamma International halten. Die Computerwanze sollte weltweit Computer bahrainischer Aktivisten infizieren und ausspähen.

Ursprüngliche Analyse bestätigt

Jetzt hat ein zweites Forscher-Team eine Analyse der Software veröffentlicht. Als Grundlage dienten ihnen vier infizierte Dateien, die auch netzpolitik.org vorliegen. Die Gruppe um Claudio Guarnieri und Jacob Appelbaum bestätigt in weiten Teilen die Ergebnisse des Citizen Lab, wie die Malware den Zielrechner infiziert und sich einnistet. Wird die vermeintliche Bild-Datei auf dem Zielrechner geöffnet, kopiert sich der Trojaner in einen System-Ordner und injiziert nach einem Neustart seinen Schadcode direkt in Systemprozesse. So kann sich die Netzwerk-Kommunikation des Trojaners in einem Prozess des Internet Explorers verstecken, der oft leicht durch Firewalls kommt.

Das Team ist sich ziemlich sicher, dass es sich tatsächlich um FinFisher handelt. Neben dem bekannten String “finspyv4.01″ in einem Ordner-Namen hat man die Strings “finfisher” und “finfisher.lnk” entdeckt. Im Vergleich mit der offiziellen Demo-Version von FinFisher sind viele Gemeinsamkeiten im Ablauf des Programms: die aggressive Präsenz auf dem System, die Prozesskette und der Netzwerk-Verkehr. Anhand der Kommunikationsmuster stellt das Team zwei Regeln für das Angrifferkennungssystem Snort zur Verfügung, um die bekannten FinFisher Infektionen im eigenen Netz zu erkennen.

Server auf fünf Kontinenten

Auch Guarnieri und Co. ist aufgefallen, dass der vom Citizen Lab enttarnte Kommando-Server in Bahrain auf HTTP-Anfragen mit dem String “Hallo Steffi” antwortet. Eine Abfrage diese Musters in der Datenbank des Projekts Critical.IO offenbarte elf weitere Server, die dieses Verhalten zeigten. Diese befinden sich in Äthiopien, Australien, Estland, Indonesien, Katar, Lettland, Mongolei, Tschechien (zwei mal), USA und den Vereinigten Arabischen Emiraten. Die Standorte auf einer Google Karte visualisiert:

Ob diese Server tatsächlich von staatlichen Behörden in diesen Ländern verwendet werden, kann derzeit nicht abschließend bewertet werden. Zunächst haben sie nur alle den ominösen String “Hallo Steffi” geantwortet (Update: Und auf ähnlichen Port-Kombinationen gelauscht). Mittlerweile tun sie das nicht mehr, was auf ein Update nach dem Bekanntwerden hindeuten könnte. Der Chef der Gamma International GmbH in München, Martin J. Münch behauptet gegenüber dem Bloomberg-Journalisten Vernon Silver, dass Dritte die FinSpy-Server nicht durch Netzwerk-Scans erkennen könnten, weil sie “mit Firewalls geschützt sind”.

Auf Nachfrage von Bloomberg haben Institutionen der meisten Staaten geantwortet, dass man von einer FinFisher-Nutzung im eigenen Land nichts wisse. Das indonesische Kommunikations- und IT-Ministerium meinte, dass der Einsatz solcher Software Datenschutzgesetze und Menschenrechte des Inselstaates verletzen würde. Andere Länder haben nicht geantwortet, beim amerikanischen FBI hieß es: “kein Kommentar”.

Gamma streitet ab – unglaubwürdig

Auf Anfrage von netzpolitik.org wollte auch Gamma keine Stellung beziehen, der versprochene Rückruf von Martin J. Münch blieb aus. Stattdessen verweist man auf die Firmen-Policy, keine Auskunft über seine Kunden zu geben. Eine Ausnahme machte man für Bloomberg, als Geschäfte mit Bahrain bestritten wurden. Auch sei der untersuchte Trojaner wahrscheinlich keine der aktuell verkauften Versionen von FinSpy. Viel wahrscheinlicher sei es, dass jemand die Demo-Version der Software entwendet und modifiziert hat, so Münch weiter.

Ein von netzpolitik.org befragter IT-Security-Forscher hält das für eine Ausrede:

Da hat Gamma jemand diese Malware geklaut, und – obwohl sie gegen Debugging und Analyse geschützt ist – den angeblichen Call-Home raus gepatcht, dann in zig Ländern selbstentwickelte Command-and-Control Server aufgebaut, die sich mit ‘Hallo Steffi’ melden? Das ist bestimmt nicht so.

Die genaue Rolle dieser elf Server wird Gegenstand weiterer Untersuchungen sein. Zwar haben die infizierten Rechner der bahrainischen FinSpy-Versionen die Überwachungsdaten an den ursprünglichen “Hallo Steffi”-Server in Bahrain geschickt. Das könnte jedoch auch nur ein Proxy-Server sein, wie ihn auch deutsche Behörden bei ihrem Einsatz des DigiTask-Trojaners eingesetzt haben. Die eigentlichen Empfänger könnten überall sitzen. Fragt sich nur wie wahrscheinlich ein Proxy in Äthopien ist, ein Land mit sehr langsamen und zensiertem Internet.

Jede Art von Malware bekämpfen

Die neue Analyse beunruhigt die Forscher. Obwohl sie die Infektionskette als schwach bezeichnen, ist die Spionage-Software insgesamt ziemlich komplex und gut geschützt bzw. verschleiert. Zwar werden die bekannten Exemplare mittlerweile von Antiviren-Programmen erkannt, aber natürlich reagieren die Hersteller auch darauf mit Anpassungen.

Keine Malware kann langfristig unter Kontrolle gehalten werden, früher oder später wird jede Schadsoftware für bösartige Zwecke genutzt, so die Forscher. Verbreitung, Produktion und Erwerb von Malware müssen verhindert und bekämpft werden. Wenn Gamma behauptet, sich an die Exportrichtlinien von Deutschland, Großbritannien und den USA zu halten, dann sind diese Teil des Problems.

Stattdessen testet auch das Bundeskriminalamt FinFisher als neuen Staatstrojaner für Deutschland.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl