Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

February 11 2014

Kaspersky findet Spionagesoftware – vermutlich aus einem spanischsprachigen Land

Die russische Sicherheitssoftware-Firma Kaspersky Lab hat gestern bekanntgegeben, Schadprogramme gefunden zu haben, die seit 2007 Cyberspionage-Aktivitäten durchführen. In der Zusammenfassung von Kaspersky ist von mehr als 380 Betroffenen in 31 Ländern die Rede. Zu den Zielen gehörten gleichermaßen Regierungsinstitutionen, diplomatische Einrichtungen, Industriekonzerne, Privat- und Forschungsunternehmen sowie Aktivisten.

Hat die Software ein System über eine Phishing-Webseite wie Kopien von The Guardian oder El País befallen, kann sie den W-Lan-Verkehr und Skype-Gespräche abhören, Tastatureingaben erkennen, Screenshots machen und sämtliche Dateioperationen überwachen. Darüberhinaus wird eine große Anzahl Dateien von den betroffenen Systemen gesammelt, wie PGP-Schlüssel und VPN-Konfigurationen.

Kaspersky hat das Malware-Toolkit “The Mask” getauft. Das geschah in Anlehnung an die Bezeichnung des Haupt-Backdoor-Programmteils, der intern als “Careto” referenziert wird, was im Spanischen “Maske” bedeutet. Aufgrund dessen, weiterer Codefragmente und der Tatsache, dass die Phishing-Seiten spanischsprachige Inhalte enthielten, geht Kaspersky davon aus, dass die Software von spanischsprachigen Entwicklern stammt. Auch der in den Konfigurationsdateien gespeicherte RC4-Schlüssel “Caguen1aMar” entspricht der spanischen Version des Fluchs “Scheiße!”

Darüberhinaus ist das Funktionsprinzip sehr fortgeschritten, was erklärt, warum die Angriffe über einen so langen Zeitraum verborgen blieben. Die Kombination aus Root- und Boot-Kit wurde für verschiedene Systeme angepasst und Zugriffsregeln so gesetzt, dass ein Blick auf das Programm verwehrt blieb. Ebenso wurden Logdateien, die Spuren seiner Existenz verraten könnten, automatisch gelöscht. Ganz fehlerfrei wurde aber auch hier nicht vorgegangen, denn es wurden noch hardgecodete Debug-Infos gefunden, wie dieser absolute Pfad auf dem Entwickler-Computer:

c:\Dev\CaretoPruebas3.0\release32\CDllUninstall32.pdb

Aufgrund der ungewöhnlichen Professionalität und der Sprachindizien geht Kaspersky davon aus, dass die Angriffe von einem spanischsprachigen Nationalstaat ausgehen. Soetwas ist bisher noch nie vorgekommen beziehungsweise wurde noch nie entdeckt. Vorerst ist das aber nur eine Vermutung und bedarf weiterer faktischer Untermauerung. In einem Bericht heißt es, dass eine absichtliche Täuschung nicht ausgeschlossen werden könne und davon abgesehen Spanisch in 21 Ländern der Welt gesprochen werde, der Kreis der möglichen Verdächtigen demnach groß sei.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 27 2012

Hacking Team Remote Control System: Noch ein europäischer Staatstrojaner enttarnt, mit erstem Rootkit für Mac OS X

Schon wieder ist ein kommerzieller Überwachungs-Trojaner entdeckt worden, der nur an Staaten verkauft wird. Die russische Anti-Viren-Firma Doctor Web berichtet, Überwachungssoftware der italienischen Firma Hacking Team gefunden zu haben. Laut eigener Aussage werden damit tausende Menschen auf der ganzen Welt überwacht.

Überwachungs-Software, auch wenn sie von Staaten eingesetzt wird, ist Schadsoftware. Nachdem Staatstrojaner von DigiTask und Gamma aufgeflogen sind, trifft es jetzt auch die italienische Firma Hacking Team. Seit 2003 entwickelt das Team um David Vincenzetti den Trojaner Remote Control System, mittlerweile ist man bei Version 7.5.

In einem Video und einer Broschüre werden die Fähigkeiten messe-kompatibel beworben. Man müssen “sein Ziel hacken”, um Verschlüsselung zu umgehen. Das Piktogramm “Hit your Target” mit Fadenkreuz auf den Kopf ist original aus der Broschüre. Die Software will Verschlüsselung umgehen, um alle Daten eines Rechners oder einer Kommunikation unverschlüsselt zu bekommen. Hacking Team wirbt damit, dass “hunderttausende Ziele” gleichzeitig überwacht werden können. Und zwar auf allen großen Betriebssystemen von Rechnern und Smartphones.

Zwar verkaufen die Italiener nur an Staaten und eine Lizenz kostet 200.000 Euro pro Jahr. Trotzdem hatte man Ende letzten Jahres laut eigener Aussage um die 30 Behörden in circa zwei Dutzend Ländern beliefert. Die Software ist auf fünf Kontinenten im Einsatz, darunter auch der Nahe Osten, Nordafrika und Ostasien. Auf der Fachmesse Cyber Warfare Europe in Berlin letzten Jahres berichtete ein Firmensprecher von einigen tausend Zielpersonen, auf deren Geräten der Trojaner im Einsatz ist.

Der russische Anti-Viren-Hersteller Doctor Web will den Trojaner von Hacking Team nun gefunden und enttarnt haben. Die Firma hat am Montag eine Datei erhalten, die im April letzten Jahres erstmals auftauchte und BackDoor.DaVinci.1 getauft wurde. Der Trojaner infiziert Rechner mit Windows oder Mac OS X. Wie üblich gibt es die volle Kontrolle über den Rechner, mit Keylogger, Screenshots, E-Mail und Skype vor der Verschlüsselung und Kontrolle über Kamera und Mikrofon. Laut Dr.Web ist es das erste entdeckte Rootkit, das sich auf Mac OS X versteckt.

Aus dem Bericht wird nicht unmittelbar klar, woraus Doctor Web schließt, es mit der Software von Hacking Team zu tun zu haben. Eine telefonische Anfrage von netzpolitik.org mit der russischen Firma gestaltete sich aufgrund von sprachlichen Hindernissen schwierig, eine Anfrage per E-Mail ist derzeit noch nicht beantwortet. Hacking Team wollte am Telefon ebenso nicht Stellung nehmen und verwies wie üblich auf den Kommunikationsweg E-Mail. Doctor Web spart aber nicht mit Kritik an Hacking Team und bezeichnet die italienischen Hersteller von Staatstrojanern als Kriminelle, deren Behauptung, dass ihre Software nicht entdeckt werden kann, man widerlegt habe.

[via]

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl