Abo
  • Services:
Anzeige
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

Hacking Team: Handbücher zeigen Infektion über Code Injection und WLAN

Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

"Internetüberwachung leicht gemacht": Die italienische Firma Hacking Team gilt neben Finfisher als bekanntester Hersteller von Spionagesoftware. Nun veröffentlichte Handbücher zeigen die Möglichkeiten der Überwachung.

Anzeige

Die US-amerikanische Website The Intercept hat mehrere ausführliche Nutzerhandbücher des Spionagesoftwareherstellers Hacking Team veröffentlicht. Aus den Unterlagen geht hervor, wie die Nutzer des Programms in die Computer und Mobiltelefone von Zielpersonen eindringen und die Geräte überwachen können. Das Programm mit dem Namen Remote Control System (RCS) nutzt dabei zahlreiche bekannte Angriffsszenarien wie das Einschleusen von Code über infizierte Downloaddateien oder Websites. Auch listet das Handbuch verschiedene Verfahren auf, um Geräte in offenen oder geschützten WLAN-Netzen zu infizieren.

  • Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)
  • Für die Zielpersonen werden die unterschiedlichen Daten zentral gesammelt.
  • Die einzelnen Spähresultate wie Skype-Mitschnitte oder Screenshots lassen sich in einer Übersicht anzeigen.
  • Von A wie Adressbuch bis ...
  • ... U wie URL können einzelne Medien- und Dateitypen ausgelesen werden.
  • Die gängigen Betriebssysteme von PCs und Smartphones werden erfasst.
  • Die Ermittler können einzelne Exe-Dateien angeben, die beim Aufruf kompromittiert werden sollen.
  • Auf verschiedene Weise versucht RCS9, in geschützte WLAN-Netze einzudringen.
Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)

Die italienische Firma Hacking Team ist neben dem deutsch-britischen Unternehmen Gamma/Finfisher inzwischen der bekannteste Hersteller von Spionagesoftware weltweit. Ebenso wie Finfisher steht auch Hacking Team in dem Ruf, seine Programme an repressive Staaten zu verkaufen. Dem Bericht von The Intercept zufolge versicherte das Unternehmen jedoch, nicht in Länder zu exportieren, die auf schwarzen Listen stünden oder die schwere Menschenrechtsverstöße ermöglichten. Hacking Team wollte aber keine Angaben dazu machen, welche Kunden nicht beliefert worden seien.

Komplette Überwachung des Rechners

Die von The Intercept veröffentlichten Handbücher stammen vom September 2013 und sind zum Teil fast 200 Seiten lang. Sie wenden sich an Analysten, Administratoren, Techniker und Systemadministratoren. Während das Analysten-Handbuch vor allem die Funktionen des Spähprogramms zur Überwachung beschreibt, werden den Technikern die verschiedenen Einbruchswerkzeuge und Spähmodule von RCS 9 erläutert.

Hacking Team wirbt für RCS 9 mit dem Slogan "Internetüberwachung leicht gemacht". Das Programm ermöglicht dabei das vollständige Auslesen der Nutzerdaten: von A wie Adressbuch bis U wie die URL der besuchten Websites. Überwacht werden können Anwendungen wie Skype, die Passwörter des Nutzers, Bildschirm, Tastatur, Kamera, Mikro und die geographische Position. Ein Mausmodul zeichnet beim Klicken kleine Ausschnitte um den Mauszeiger auf, um virtuelle Tastaturen auszulesen, die einen Keylogger umgehen sollen. Die gewonnenen Daten können so aufbereitet werden, dass Verbindungen zwischen überwachten Personen deutlich werden. Dies gilt beispielsweise, wenn zwei Zielpersonen mit einem gemeinsamen Bekannten telefonieren oder sich zeitgleich am selben Ort aufhalten.

Netzwerkserver bei den Providern

Um die Geräte von Verdächtigen zu infizieren, nutzt Hacking Team Methoden, die auch von Kriminellen oder Geheimdiensten verwendet werden. Der sogenannte Network Injector erlaubt es den Ermittlern demnach, die "http-Verbindungen abzuhören und ein Programm auf dem Gerät einzuschleusen". Dazu gibt es zwei Methoden: Zum einen kann ein Server bei einem Netzwerkprovider den Traffic überwachen und manipulierten Code zurückgeben, zum anderen kann ein Laptop genutzt werden, um in der Nähe der Zielperson über LAN und WLAN den Code einzuschleusen.

Das Programm erlaubt es den Ermittlern, verschiedene Suchbegriffe wie Downloads oder Websites einzugeben, die dann manipuliert werden. Explizit wird dabei die Exe-Datei des Firefox-Setups genannt. Dem Handbuch zufolge kann aber jede beliebige Exe-Datei infiziert werden. Als Beispiel für eine infizierte Website wird www.oracle.com erwähnt. Der Network Injector kann jedoch keine FTP- oder HTTPS-Verbindungen überwachen. Die Internetverbindung kann unter anderem durch die Eingabe von IP- und Mac-Adressen oder Adressbereichen identifiziert werden.

Neben Exe- und HTML-Dateien gibt es noch die Möglichkeit, beim Nutzer Flash-Videos zu blockieren und ihn zum Installieren eines manipulierten Flash-Updates aufzufordern. Auch kann der Rechner über ein angebliches Update der Java Runtime Environment informiert werden, so dass eine manipulierte Version heruntergeladen wird.

Google und Microsoft reagieren

Das sogenannte Taktische Kontrollzentrum wird auf einem Laptop der Ermittler installiert. Damit kann in LAN- oder WLAN-Netze eingedrungen werden, um die Spähprogramme einzuschleusen. Bei geschützten WLAN-Netzen muss dabei zuvor das Passwort geknackt werden. Zu diesem Zweck nennt das Handbuch drei Methoden: eine WPA/WPA2-Attacke mit Wörterbüchern der häufigsten Passwörter sowie zwei Bruteforce-Angriffe auf das verschlüsselte WEP-Passwort und die WPS-PIN. Nicht identifizierte Geräte können dabei zur Authentifizierung gezwungen werden. Auch besteht die Möglichkeit, einen Access Point zu emulieren und die Zielperson in dieses Netz zu locken.

Einzelne Methoden von RCS waren in den vergangenen Monaten bereits von der kanadischen Forschungseinrichtung Citizen Lab veröffentlicht worden. Verschiedene Anbieter wie Youtube und Microsoft haben nach Angaben von Citizen Lab inzwischen auf die Berichte reagiert und verschlüsseln ihren Traffic mit HTTPS.


eye home zur Startseite
Slomo97 05. Nov 2014

Seit wann ist rechtfertigt SSL einen Premiumdienst? Das sollte STANDARD sein.

caveman 04. Nov 2014

Da steht aber "infizierte Website" das meiner Meinung nach nichts mit einer Man in the...

Ipa 04. Nov 2014

Diese Software wurde für dubiose Privatdetektive, Hobbyschnüffler und eifersüchtige...

Ipa 04. Nov 2014

Aus informierten Kreisen wurde gerade bekannt das Rocket Internet auch bald so einen...

Niantic 03. Nov 2014

das telnet "protocol" ist doch für ermittler viel zu kompliziert, und zudem noch...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Bühl
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. MBtech Group GmbH & Co. KGaA, Sindelfingen, Ulm, Neu-Ulm, Stuttgart, München
  4. beauty alliance Deutschland GmbH & Co. KG, Bielefeld


Anzeige
Top-Angebote
  1. 4,99€
  2. 299,90€ (UVP 649,90€)
  3. und bis zu 40 Euro Sofortrabatt erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Twitch

    Amazon macht Streamer in Breakaway zu Matchmakern

  2. Autonomes Fahren

    Die Ethik der Vollbremsung

  3. Renault

    Elektroauto Zoe mit 41-kWh-Akku und 400 km Reichweite

  4. Leistungsschutzrecht

    Oettingers bizarre Nachhilfestunde

  5. Dating-Portal

    Ermittlungen gegen Lovoo werden eingestellt

  6. Huawei

    Mobilfunkbetreiber sollen bei GBit nicht die Preise erhöhen

  7. Fuze

    iPhone-Hülle will den Klinkenanschluss zurückbringen

  8. Raspberry Pi

    Bastelrechner bekommt Pixel-Desktop

  9. Rollenspiel

    Koch Media wird Publisher für Kingdom Come Deliverance

  10. Samsung

    Explodierende Waschmaschinen sind ganz normal



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Rocketlab: Neuseeland genehmigt Start für erste elektrische Rakete
Rocketlab
Neuseeland genehmigt Start für erste elektrische Rakete
  1. Osiris Rex Asteroid Bennu, wir kommen!
  2. Raumfahrt Erster Apollo-Bordcomputer aus dem Schrott gerettet
  3. Startups Wie Billig-Raketen die Raumfahrt revolutionieren

  1. Re: lustig wie schnell der aus dem Nichts kommt

    Berner Rösti | 08:36

  2. Re: Digitale Distribution

    Moridin | 08:36

  3. Re: Und was nimmt man für die Zukunft?

    M.P. | 08:35

  4. Re: Nein, ich finde es nicht toll

    melog89 | 08:35

  5. Re: es gibt kein seriöses / gutes Online Dating ?

    AngryFrog | 08:35


  1. 08:43

  2. 07:57

  3. 07:39

  4. 18:17

  5. 17:39

  6. 17:27

  7. 17:13

  8. 16:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel