• IT-Karriere:
  • Services:

Finfisher: Wie der CCC einen Staatstrojaner attribuiert

Mit einer Strafanzeige gegen den Staatstrojaner-Hersteller Finfisher soll der Export von Überwachungssoftware in bestimmte Länder aufgeklärt werden. Der CCC hat nun nachgewiesen, dass in der Türkei eingesetzte Software wohl aus Deutschland stammt.

Ein Bericht von veröffentlicht am
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet.
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet. (Bild: Access Now/Screenshot: Golem.de)

Der Chaos Computer Club (CCC) will mit einer Analyse von Spionagesoftware die Vorwürfe gegen den Münchner Staatstrojaner-Hersteller Finfisher untermauern. Die Untersuchung von 28 Varianten der Software Finspy für Android-Geräte habe ergeben, dass eines des Exemplare eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt und in der Türkei eingesetzt worden sei. Anlass der Analyse ist eine Anzeige von vier Nichtregierungsorganisationen bei der Staatsanwaltschaft München gegen Finfisher. Der CCC bestätigt damit im Wesentlichen die Ergebnisse, die schon eine Analyse von Finspy durch die Organisation Access Now vom Mai 2018 ergeben hatte (PDF).

Inhalt:
  1. Finfisher: Wie der CCC einen Staatstrojaner attribuiert
  2. Konfiguration in Metadaten versteckt

Die Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (ROG), das European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org hatten die Anzeige (PDF) im September 2019 eingereicht. Dabei geht es um mögliche Verstöße gegen das Außenwirtschaftsgesetz. Überwachungssoftware gehört zu den sogenannten Dual-Use-Gütern, deren Verkauf in der EU seit 2015 nach den Maßstäben des Wassenaar-Exportkontrollabkommens reguliert ist.

Hat Finfisher die Software in die Türkei verkauft?

Finfisher hätte demnach eine Ausfuhrgenehmigung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) beantragen müssen. Das war aber Medienberichten vom Mai 2018 zufolge nicht geschehen. Denn das zuständige Bundeswirtschaftsministerium habe angegeben, seit 2014 keinerlei Exportgenehmigungen für sogenannte Intrusion-Software erteilt zu haben. Dies wurde zuletzt im Juni 2019 von Staatssekretärin Claudia Dörr-Voß im Bundestag bestätigt.

Der zentrale Aspekt in einem möglichen Prozess dürfte die Frage darstellen, ob die im Juli 2017 gegen türkische Oppositionelle eingesetzte Software tatsächlich von Finfisher stammt und wissentlich zu diesem Zweck verkauft wurde. Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.

Leak von 2014 als Referenz

Stellenmarkt
  1. Landkreis Stade, Stade
  2. Vorwerk Services GmbH, Wuppertal

Die Attribution von Spionagesoftware steht dabei vor ähnlichen Problemen, wie sie bei der Zuordnung von Hackerangriffen auftreten. Die Hersteller verzichten in den Programmen wohlweislich auf Copyright-Angaben und versuchen nicht nur die Funktionen, sondern auch die Herkunft des Trojaners zu verschleiern. Zu Hilfe kam dem CCC jedoch der umfangreiche Hack von Finfisher (Gamma International) im Jahr 2014. "Unter den veröffentlichten Daten befinden sich mehrere Samples, welche somit zweifelsfrei der Firmengruppe Finfisher zugeordnet werden können", schreiben Neumann und Schröder. Diese dienten nun als Referenz für die Analyse von Unterschieden, Ähnlichkeiten und Weiterentwicklungen der anderen vorliegenden Samples von nicht zweifelsfrei geklärter Herkunft.

Als Indiz für die Attribution dienen dem CCC dabei unter anderem die verwendeten Zertifikate, mit denen die Samples signiert wurden. Allerdings sei Finfisher nach dem Leak von 2014 dazu übergegangen, sämtliche Samples individuell zu signieren, um einen gemeinsamen Ursprung zu verschleiern. Nicht geändert wurde demnach jedoch die Methode, um die Schadsoftware auf den spezifischen Endkunden anzupassen. "Alle extrahierbaren Konfigurationen liegen in einem Binärformat vor, dessen Strukturen untereinander gleiche Muster aufweisen", heißt es.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Konfiguration in Metadaten versteckt 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 9,49€
  2. 37,49€
  3. (-30%) 41,99€
  4. (-20%) 47,99€

User_x 29. Dez 2019 / Themenstart

Ja, nennt sich Geldbörse. Man kann vieles darüber verfolgen, und es wird noch enger...

volkeru 29. Dez 2019 / Themenstart

Wer ein Open Source Betriebssystem nutzt, wie z.B. LineageOS und Open Source Apps, wie z...

Eheran 29. Dez 2019 / Themenstart

Aber was hat das dann mit Langenscheidt zu tun? Wenn, dann wäre ja das Wort mit/ohne t...

Schleicher 29. Dez 2019 / Themenstart

Schau mal bei blog.fefe vorbei der gibt ein paar Hinweise, was man schauen könnte. Lade...

Kommentieren


Folgen Sie uns
       


Razer Eracing Simulator ausprobiert (CES 2020)

Der Eracing Simulator von Razer versucht, das Fahrgefühl in einem Rennwagen wiederzugeben. Dank Motoren und einer großen Leinwand ist die Immersion sehr gut, wie Golem.de im Hands on feststellen konnte.

Razer Eracing Simulator ausprobiert (CES 2020) Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

    •  /