Menü
Security

Trojaner "made in Germany" spioniert in Bahrain

Von
vorlesen Drucken Kommentare lesen 136 Beiträge

Der Trojaner zeigte sogar tatsächlich Bilder an, während er im Hintergrund aktiv wurde.

(Bild: Citizenlab )

In einer von Citizenlab veröffentlichten, detaillierten Analyse der Aktivitäten eines Trojaners kommen die Experten zu dem Schluss, dass es sich wahrscheinlich um ein Exemplar des kommerziellen Spionage-Tools FinFisher der Firma Gamma International handelt. Der Trojaner wurde gezielt an politische Aktivisten in Bahrain verschickt und trug als Absender unter anderem den Namen einer Aljazeera-Korrespondentin und Betreffs wie "Torture reports on Rabil Najaab".

Die angehängte und trickreich als Bild getarnte exe-Datei deakivierte Antiviren-Software und installierte einen kompletten Satz von Spionage-Programmen auf dem PC. Die überwachten dann unter anderem die Skype-Kommunikation des Opfers, inklusive Gesprächen und Dateiübertragungen. Die Analyse des Arbeitsspeichers infizierter Systeme förderte mehrfach die Zeichenkette "finspy" zu Tage. Diesen Namen benutzt Gamma unter anderem um FinFisher-Module zu bewerben.

Darüber hinaus kam ein sehr spezieller Exe-Packer zum Einsatz, dessen Signatur auch auf ein anderes Sample ansprang, das die Forscher als Demo-Version des Trojaners einstufen. Sie kommunizierte unter anderem mit dem Server tiger.gamma-international.de dessen Domain in Deutschland auf die Firma Gamma International GmbH registriert ist. Zwar firmiert der FinFisher-Lieferant Gamma International Ltd. offiziell in Großbritannien, doch es gibt deutliche Indizien, dass die eigentliche Entwicklung der Software in Deutschland stattfindet. Das Überwachungs-Tool FinFisher ist in der Vergangenheit bereits mehrfach im Zusammenhang mit dem Ausspionieren politischer Aktivisten durch Regierungsbehörden aufgefallen. Zuletzt erhielt die Firma für ihre Aktivitäten einen Big Brother Award. (ju)