heise Security

Trojaner "made in Germany" spioniert in Bahrain

Jürgen Schmidt

In einer von Citizenlab veröffentlichten, detaillierten Analyse [1] der Aktivitäten eines Trojaners kommen die Experten zu dem Schluss, dass es sich wahrscheinlich um ein Exemplar des kommerziellen Spionage-Tools FinFisher der Firma Gamma International handelt. Der Trojaner wurde gezielt an politische Aktivisten in Bahrain verschickt und trug als Absender unter anderem den Namen einer Aljazeera-Korrespondentin und Betreffs wie "Torture reports on Rabil Najaab".

Der Trojaner zeigte sogar tatsächlich Bilder an, während er im Hintergrund aktiv wurde.
Bild: Citizenlab [2]

Die angehängte und trickreich als Bild getarnte exe-Datei deakivierte Antiviren-Software und installierte einen kompletten Satz von Spionage-Programmen auf dem PC. Die überwachten dann unter anderem die Skype-Kommunikation des Opfers, inklusive Gesprächen und Dateiübertragungen. Die Analyse des Arbeitsspeichers infizierter Systeme förderte mehrfach die Zeichenkette "finspy" zu Tage. Diesen Namen benutzt Gamma unter anderem um FinFisher-Module zu bewerben [3].

Darüber hinaus kam ein sehr spezieller Exe-Packer zum Einsatz, dessen Signatur auch auf ein anderes Sample ansprang, das die Forscher als Demo-Version des Trojaners einstufen. Sie kommunizierte unter anderem mit dem Server tiger.gamma-international.de dessen Domain in Deutschland auf die Firma Gamma International GmbH [4] registriert ist. Zwar firmiert der FinFisher-Lieferant Gamma International Ltd. offiziell in Großbritannien, doch es gibt deutliche Indizien, dass die eigentliche Entwicklung der Software in Deutschland stattfindet. Das Überwachungs-Tool FinFisher [5] ist in der Vergangenheit bereits mehrfach im Zusammenhang mit dem Ausspionieren politischer Aktivisten [6] durch Regierungsbehörden aufgefallen. Zuletzt erhielt die Firma für ihre Aktivitäten einen Big Brother Award [7]. (ju [8])


URL dieses Artikels:
https://www.heise.de/security/meldung/Trojaner-made-in-Germany-spioniert-in-Bahrain-1652460.html

Links in diesem Artikel:
  [1] https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/3/
  [2] https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/3/
  [3] http://www.youtube.com/watch?v=qc8i7C659FU
  [4] http://www.ndr.de/fernsehen/sendungen/zapp/gamma105.html
  [5] http://www.finfisher.com/FinFisher/de/portfolio.php
  [6] https://www.heise.de/security/meldung/Auch-Syrien-ueberwacht-das-Internet-1355081.html
  [7] http://www.heise.de/ct/artikel/Big-Brother-Awards-2012-Datenschutz-zwischen-Wolken-und-Wassern-1525246.html
  [8] mailto:ju@ct.de