Abo
  • Services:
Anzeige
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

Hacking Team: Handbücher zeigen Infektion über Code Injection und WLAN

Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

"Internetüberwachung leicht gemacht": Die italienische Firma Hacking Team gilt neben Finfisher als bekanntester Hersteller von Spionagesoftware. Nun veröffentlichte Handbücher zeigen die Möglichkeiten der Überwachung.

Anzeige

Die US-amerikanische Website The Intercept hat mehrere ausführliche Nutzerhandbücher des Spionagesoftwareherstellers Hacking Team veröffentlicht. Aus den Unterlagen geht hervor, wie die Nutzer des Programms in die Computer und Mobiltelefone von Zielpersonen eindringen und die Geräte überwachen können. Das Programm mit dem Namen Remote Control System (RCS) nutzt dabei zahlreiche bekannte Angriffsszenarien wie das Einschleusen von Code über infizierte Downloaddateien oder Websites. Auch listet das Handbuch verschiedene Verfahren auf, um Geräte in offenen oder geschützten WLAN-Netzen zu infizieren.

  • Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)
  • Für die Zielpersonen werden die unterschiedlichen Daten zentral gesammelt.
  • Die einzelnen Spähresultate wie Skype-Mitschnitte oder Screenshots lassen sich in einer Übersicht anzeigen.
  • Von A wie Adressbuch bis ...
  • ... U wie URL können einzelne Medien- und Dateitypen ausgelesen werden.
  • Die gängigen Betriebssysteme von PCs und Smartphones werden erfasst.
  • Die Ermittler können einzelne Exe-Dateien angeben, die beim Aufruf kompromittiert werden sollen.
  • Auf verschiedene Weise versucht RCS9, in geschützte WLAN-Netze einzudringen.
Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)

Die italienische Firma Hacking Team ist neben dem deutsch-britischen Unternehmen Gamma/Finfisher inzwischen der bekannteste Hersteller von Spionagesoftware weltweit. Ebenso wie Finfisher steht auch Hacking Team in dem Ruf, seine Programme an repressive Staaten zu verkaufen. Dem Bericht von The Intercept zufolge versicherte das Unternehmen jedoch, nicht in Länder zu exportieren, die auf schwarzen Listen stünden oder die schwere Menschenrechtsverstöße ermöglichten. Hacking Team wollte aber keine Angaben dazu machen, welche Kunden nicht beliefert worden seien.

Komplette Überwachung des Rechners

Die von The Intercept veröffentlichten Handbücher stammen vom September 2013 und sind zum Teil fast 200 Seiten lang. Sie wenden sich an Analysten, Administratoren, Techniker und Systemadministratoren. Während das Analysten-Handbuch vor allem die Funktionen des Spähprogramms zur Überwachung beschreibt, werden den Technikern die verschiedenen Einbruchswerkzeuge und Spähmodule von RCS 9 erläutert.

Hacking Team wirbt für RCS 9 mit dem Slogan "Internetüberwachung leicht gemacht". Das Programm ermöglicht dabei das vollständige Auslesen der Nutzerdaten: von A wie Adressbuch bis U wie die URL der besuchten Websites. Überwacht werden können Anwendungen wie Skype, die Passwörter des Nutzers, Bildschirm, Tastatur, Kamera, Mikro und die geographische Position. Ein Mausmodul zeichnet beim Klicken kleine Ausschnitte um den Mauszeiger auf, um virtuelle Tastaturen auszulesen, die einen Keylogger umgehen sollen. Die gewonnenen Daten können so aufbereitet werden, dass Verbindungen zwischen überwachten Personen deutlich werden. Dies gilt beispielsweise, wenn zwei Zielpersonen mit einem gemeinsamen Bekannten telefonieren oder sich zeitgleich am selben Ort aufhalten.

Netzwerkserver bei den Providern

Um die Geräte von Verdächtigen zu infizieren, nutzt Hacking Team Methoden, die auch von Kriminellen oder Geheimdiensten verwendet werden. Der sogenannte Network Injector erlaubt es den Ermittlern demnach, die "http-Verbindungen abzuhören und ein Programm auf dem Gerät einzuschleusen". Dazu gibt es zwei Methoden: Zum einen kann ein Server bei einem Netzwerkprovider den Traffic überwachen und manipulierten Code zurückgeben, zum anderen kann ein Laptop genutzt werden, um in der Nähe der Zielperson über LAN und WLAN den Code einzuschleusen.

Das Programm erlaubt es den Ermittlern, verschiedene Suchbegriffe wie Downloads oder Websites einzugeben, die dann manipuliert werden. Explizit wird dabei die Exe-Datei des Firefox-Setups genannt. Dem Handbuch zufolge kann aber jede beliebige Exe-Datei infiziert werden. Als Beispiel für eine infizierte Website wird www.oracle.com erwähnt. Der Network Injector kann jedoch keine FTP- oder HTTPS-Verbindungen überwachen. Die Internetverbindung kann unter anderem durch die Eingabe von IP- und Mac-Adressen oder Adressbereichen identifiziert werden.

Neben Exe- und HTML-Dateien gibt es noch die Möglichkeit, beim Nutzer Flash-Videos zu blockieren und ihn zum Installieren eines manipulierten Flash-Updates aufzufordern. Auch kann der Rechner über ein angebliches Update der Java Runtime Environment informiert werden, so dass eine manipulierte Version heruntergeladen wird.

Google und Microsoft reagieren

Das sogenannte Taktische Kontrollzentrum wird auf einem Laptop der Ermittler installiert. Damit kann in LAN- oder WLAN-Netze eingedrungen werden, um die Spähprogramme einzuschleusen. Bei geschützten WLAN-Netzen muss dabei zuvor das Passwort geknackt werden. Zu diesem Zweck nennt das Handbuch drei Methoden: eine WPA/WPA2-Attacke mit Wörterbüchern der häufigsten Passwörter sowie zwei Bruteforce-Angriffe auf das verschlüsselte WEP-Passwort und die WPS-PIN. Nicht identifizierte Geräte können dabei zur Authentifizierung gezwungen werden. Auch besteht die Möglichkeit, einen Access Point zu emulieren und die Zielperson in dieses Netz zu locken.

Einzelne Methoden von RCS waren in den vergangenen Monaten bereits von der kanadischen Forschungseinrichtung Citizen Lab veröffentlicht worden. Verschiedene Anbieter wie Youtube und Microsoft haben nach Angaben von Citizen Lab inzwischen auf die Berichte reagiert und verschlüsseln ihren Traffic mit HTTPS.


eye home zur Startseite
Slomo97 05. Nov 2014

Seit wann ist rechtfertigt SSL einen Premiumdienst? Das sollte STANDARD sein.

caveman 04. Nov 2014

Da steht aber "infizierte Website" das meiner Meinung nach nichts mit einer Man in the...

Ipa 04. Nov 2014

Diese Software wurde für dubiose Privatdetektive, Hobbyschnüffler und eifersüchtige...

Ipa 04. Nov 2014

Aus informierten Kreisen wurde gerade bekannt das Rocket Internet auch bald so einen...

Niantic 03. Nov 2014

das telnet "protocol" ist doch für ermittler viel zu kompliziert, und zudem noch...



Anzeige

Stellenmarkt
  1. ITC-Engineering GmbH & Co. KG, Stuttgart
  2. Trifels Verlag GmbH, Frankfurt
  3. ALDI SÜD, Mülheim an der Ruhr
  4. afb Application Services AG, München


Anzeige
Top-Angebote
  1. 49,90€ (Vergleichspreis: 62,90€)
  2. 59,90€ (Vergleichspreis: 71,30€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Tipps für IT-Engagement in Fernost
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"

  2. Pegasus

    Ausgeklügelte Spyware attackiert gezielt iPhones

  3. Fenix Chronos

    Garmins neue Sport-Smartwatch kostet ab 1.000 Euro

  4. C-94

    Cratoni baut vernetzten Fahrradhelm mit Crash-Sensor

  5. Hybridluftschiff

    Airlander 10 streifte Überlandleitung

  6. Smartphones

    Apple will Diebe mit iPhone-Technik überführen

  7. 3D-Flash

    Intel veröffentlicht gleich sechs neue SSD-Reihen

  8. Galaxy Tab S

    Samsung verteilt Update auf Android 6.0

  9. Verschlüsselung

    OpenSSL veröffentlicht Version 1.1.0

  10. DJI Osmo+

    Drohnenkamera am Selfie-Stick



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Warenzustellung Schweizer Post testet autonome Lieferroboter
  2. Lockheed Martin Roboter Spider repariert Luftschiffe
  3. Kinderroboter Myon Einauge lernt, Einauge hat Körper

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: Ist schon seit Monaten so

    ritzmann | 11:53

  2. Re: Sinnfrei

    igor37 | 11:53

  3. Re: Handzeichen ist trotzdem Pflicht

    Nogul | 11:52

  4. Re: Hat sich nichts geändert

    Lapje | 11:51

  5. Re: guckst Du DXOMark und andre Tests

    ThomasDresden | 11:50


  1. 12:01

  2. 11:57

  3. 10:40

  4. 10:20

  5. 09:55

  6. 09:38

  7. 09:15

  8. 08:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel