FinFisher-Staatstrojaner von Providern verteilt

Irgendwie hat es diese Woche sicherheitstechnisch wieder gerappelt. Nach dem CCleaner-Skandal hat Sicherheitsanbieter ESET eine Überwachungskampagne entdeckt, welche eine neue Variante der berüchtigten Spyware FinFisher nutzt. Die auch als FinSpy bekannte Malware wird als Tool zur Strafverfolgung vermarktet und weltweit an staatliche Stellen verkauft. Insgesamt sieben Länder sind von FinFisher betroffen. In zwei davon gibt es Hinweise darauf, dass große Internetanbieter in die Verbreitung des Überwachungsprogramms involviert waren. Diese Information ging mit gerade per E-Mail von ESET zu.


Werbung


Spyware-Tool zur Strafverfolgung

FinFisher verfügt über umfangreiche Spionagefähigkeiten, darunter die Überwachung durch Webcams und Mikrofone, Keylogging und das Herausschleusen von Daten. Der Trojaner wird als Tool zur Strafverfolgung vermarktet und weltweit an staatliche Stellen verkauft. Mit der letzten Version erhielt die Malware eine Reihe an Verbesserungen, besonders im Bereich der Spionagefähigkeiten und beim Schutz vor Entdeckung.

Spyware
(Quelle: ESET)

Besonders fies: Bei zwei der Kampagnen wurde die Malware mittels einer Man-in-the-Middle-Attacke verbreitet und die Sicherheitsspezialisten von ESET gehen davon aus, dass die Internetprovider die Rolle des ‚Mittelsmanns‘ (Man-in-the-middle) übernommen haben. Nutzer wurden also über den einen Internetprovider infiziert.

Verbreitung über Services von Internetprovidern

Eine beunruhigende Neuerung gab es auch in der Art der Verbreitung. Sobald ein anvisierter Nutzer eine von verschiedenen beliebten Apps wie WhatsApp, Skype oder den VLC Player herunterlädt, wird er unbemerkt auf den Server der Angreifer umgeleitet. Dort erhält der Nutzer ein mit FinFisher infiziertes Installationspaket.

„Im Zuge unserer Ermittlungen sind wir auf verschiedene Hinweise gestoßen, dass die Umleitung innerhalb der Serviceebene eines großen Internetanbieters stattfindet“, so Filip Kafka. Demnach handelt es sich bei diesen Spionage-Kampagnen um die ersten Fälle, bei denen die Beteiligung großer Internetanbieter bei der Verbreitung nicht ausgeschlossen werden kann und öffentlich bekannt wird. „Diese FinFisher Kampagnen sind anspruchsvolle Überwachungsprojekte, die mit ihrer Kombination an Methoden und Reichweite ihresgleichen suchen.“

Mit FinFisher rückt Malware von Regierungsbehörden und der Umgang von Security-Unternehmen damit wieder ins Rampenlicht. Für ESET gibt es so etwas wie „gute Malware“ nicht. ESET verzichtet aber ganz bewusst darauf, die Länder zu nennen, in denen Internetanbieter möglicherweise in die Verbreitung des Überwachungsprogramms involviert waren, um Betroffene nicht in Gefahr zu bringen.

Mehr Informationen zu FinFisher gibt es im ESET Blog WeLiveSecurity unter dieser URL. Im englischsprachigen Blog des Unternehmens sind zudem verschiedene Artikel zu FinFisher-Kampagnen erschienen.


Werbung



Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Kommentare zu FinFisher-Staatstrojaner von Providern verteilt

  1. christian sagt:

    Die Sache ist für mich einfach. Welche Provider sind betroffen? Ist ‚mein‘ Provider betroffen, kündigen mit Angabe des Grundes: Bruch des Grundgesetzes, Beihilfe zur Spionage oder was auch immer je nach Land gegen das jeweilige Gesetz verstößt. Ein Provider ohne Kunden kann nichts ‚providen‘.

    • Tim sagt:

      „gegen das jeweilige Gesetz“ – Du bist ja witzig.

      Gesetze gelten in erster Linie dem Volk als Leitfaden und nicht der Regierung. Eine Regierung biegt sich Gesetze notfalls hin, oder steht aus besonderen Gründen halt über dem Gesetz, so lange es von entsprechenden Gruppen legitimiert wird.
      Das beste Beispiel dafür sind und bleiben die USA.

      Die Provider werden vermutlich schlicht und einfach „freundlich“ überzeugt und wenn sie Glück haben springt auch noch etwas Geld dabei raus.
      Auch dieses funktioniert nach US Vorbild wunderbar…

      Wenn wir aus der NSA Geschichte etwas gelernt haben, dann doch das man eben nicht mal besten Freunden vertauen kann. Firmen sowieso nicht und wer was erzählt, verschwindet ganz oder beantragt Asyl bei Putin.
      Das Snoden sich ausgerechnet beim bösen Russen versteckt und offenbar einigermaßen sicher fühlt, ist bei seiner Herkunft und Geschichte doch schon ein auffälliger Punkt.

      Wenns aktuell beispielsweise um Provider in der Türkei gehen würde, würdest du dich wundern, oder kündigen mit Angabe des Grundes: Bruch des Grundgesetzes, Beihilfe zur Spionage ? Viel Spaß dabei…

      Unserer Regierung würde ich den Mist jedenfalls mittlerweile genauso zutrauen. Wenn unsere Regierung überhaupt mitbekommt, was der BND in Zusammenarbeit mit anderen Dienten so treibt.

      • christian sagt:

        War nicht witzig gemeint. Ich bin 1/3 meines Lebens in einer Diktatur aufgewachsen. 2 Häuser weiter von unserem Haus war die Polizeistation. Da konnte man dann nachts aus dem Keller Schreie hören. Wenn jemand tagsüber telefoniert hatte (die Post hatte die Verbindungen live per Hand gesetzt) und unliebsames von sich gab, wurde er von der Dorfpolizei abgeholt und ‚befragt‘. Dabei haben einige Mitarbeiter der ‚Post‘ dafür gesorgt. Und man konnte nie wissen, ob nicht der eigene Nachbar oder sogar ein Familienmitglied Informationen weitergab. Und im Vergleich zur DDR war das eine Nummer übler. Also nein, es war nicht witzig gemeint.

        Und ich rede hier nicht von der Türkei sondern von der (noch) demokratischen Bundesrepublik Deutschland. Solange ich hier die Wahl habe, treffe ich diese auch. Wenn ich überwacht werde und der Provider beugt sich Dank seiner Größe dann entscheide ich mich für einen anderen, kleineren. Wenn jemand meine Kommunikation filtert dann verschlüssele ich. Solange ich diese Wahl habe, mache ich das auch. Von anderen Ländern war nicht die Rede. Aber ja, ich weiß wie es dort zugeht. ich durfte meine Kindheit und meine Jugend in solch einem Land verbringen.

  2. Thomas Bauer sagt:

    Wie finde ich raus ob ich FinFisher auf einen meiner Devices habe? Ich glaube nicht das herkömmliche Virenscanner so etwas finden, oder doch? Einen AVM Router kann ich doch erst gar nicht scannen weil mir der Zugriff auf das Dateisystem fehlt. Was kann man machen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.