• IT-Karriere:
  • Services:

Finfisher: Wie der CCC einen Staatstrojaner attribuiert

Mit einer Strafanzeige gegen den Staatstrojaner-Hersteller Finfisher soll der Export von Überwachungssoftware in bestimmte Länder aufgeklärt werden. Der CCC hat nun nachgewiesen, dass in der Türkei eingesetzte Software wohl aus Deutschland stammt.

Ein Bericht von veröffentlicht am
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet.
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet. (Bild: Access Now/Screenshot: Golem.de)

Der Chaos Computer Club (CCC) will mit einer Analyse von Spionagesoftware die Vorwürfe gegen den Münchner Staatstrojaner-Hersteller Finfisher untermauern. Die Untersuchung von 28 Varianten der Software Finspy für Android-Geräte habe ergeben, dass eines des Exemplare eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt und in der Türkei eingesetzt worden sei. Anlass der Analyse ist eine Anzeige von vier Nichtregierungsorganisationen bei der Staatsanwaltschaft München gegen Finfisher. Der CCC bestätigt damit im Wesentlichen die Ergebnisse, die schon eine Analyse von Finspy durch die Organisation Access Now vom Mai 2018 ergeben hatte (PDF).

Inhalt:
  1. Finfisher: Wie der CCC einen Staatstrojaner attribuiert
  2. Konfiguration in Metadaten versteckt

Die Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (ROG), das European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org hatten die Anzeige (PDF) im September 2019 eingereicht. Dabei geht es um mögliche Verstöße gegen das Außenwirtschaftsgesetz. Überwachungssoftware gehört zu den sogenannten Dual-Use-Gütern, deren Verkauf in der EU seit 2015 nach den Maßstäben des Wassenaar-Exportkontrollabkommens reguliert ist.

Hat Finfisher die Software in die Türkei verkauft?

Finfisher hätte demnach eine Ausfuhrgenehmigung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) beantragen müssen. Das war aber Medienberichten vom Mai 2018 zufolge nicht geschehen. Denn das zuständige Bundeswirtschaftsministerium habe angegeben, seit 2014 keinerlei Exportgenehmigungen für sogenannte Intrusion-Software erteilt zu haben. Dies wurde zuletzt im Juni 2019 von Staatssekretärin Claudia Dörr-Voß im Bundestag bestätigt.

Der zentrale Aspekt in einem möglichen Prozess dürfte die Frage darstellen, ob die im Juli 2017 gegen türkische Oppositionelle eingesetzte Software tatsächlich von Finfisher stammt und wissentlich zu diesem Zweck verkauft wurde. Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.

Leak von 2014 als Referenz

Stellenmarkt
  1. European Bank for Financial Services GmbH (ebase®), Aschheim
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Die Attribution von Spionagesoftware steht dabei vor ähnlichen Problemen, wie sie bei der Zuordnung von Hackerangriffen auftreten. Die Hersteller verzichten in den Programmen wohlweislich auf Copyright-Angaben und versuchen nicht nur die Funktionen, sondern auch die Herkunft des Trojaners zu verschleiern. Zu Hilfe kam dem CCC jedoch der umfangreiche Hack von Finfisher (Gamma International) im Jahr 2014. "Unter den veröffentlichten Daten befinden sich mehrere Samples, welche somit zweifelsfrei der Firmengruppe Finfisher zugeordnet werden können", schreiben Neumann und Schröder. Diese dienten nun als Referenz für die Analyse von Unterschieden, Ähnlichkeiten und Weiterentwicklungen der anderen vorliegenden Samples von nicht zweifelsfrei geklärter Herkunft.

Als Indiz für die Attribution dienen dem CCC dabei unter anderem die verwendeten Zertifikate, mit denen die Samples signiert wurden. Allerdings sei Finfisher nach dem Leak von 2014 dazu übergegangen, sämtliche Samples individuell zu signieren, um einen gemeinsamen Ursprung zu verschleiern. Nicht geändert wurde demnach jedoch die Methode, um die Schadsoftware auf den spezifischen Endkunden anzupassen. "Alle extrahierbaren Konfigurationen liegen in einem Binärformat vor, dessen Strukturen untereinander gleiche Muster aufweisen", heißt es.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Konfiguration in Metadaten versteckt 
  1. 1
  2. 2
  3.  


Anzeige
Mobile-Angebote
  1. 206,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  2. 499,90€
  3. 569€ (Bestpreis!)

User_x 29. Dez 2019

Ja, nennt sich Geldbörse. Man kann vieles darüber verfolgen, und es wird noch enger...

volkeru 29. Dez 2019

Wer ein Open Source Betriebssystem nutzt, wie z.B. LineageOS und Open Source Apps, wie z...

Eheran 29. Dez 2019

Aber was hat das dann mit Langenscheidt zu tun? Wenn, dann wäre ja das Wort mit/ohne t...

Schleicher 29. Dez 2019

Schau mal bei blog.fefe vorbei der gibt ein paar Hinweise, was man schauen könnte. Lade...


Folgen Sie uns
       


Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Smarte Lautsprecher im Vergleichstest: Amazon hat den Besten
Smarte Lautsprecher im Vergleichstest
Amazon hat den Besten

Echo 4, Nest Audio, Echo Dot 4 oder Homepod Mini? Bei smarten Lautsprechern für maximal 100 Euro ist die Größe entscheidend.
Ein Test von Ingo Pakalski

  1. Smarter Lautsprecher Google zeigt Nest Audio für 100 Euro
  2. Harman Kardon Portabler Lautsprecher mit Google Assistant und Airplay 2
  3. Smarter Lautsprecher Google bestätigt offiziell neuen Nest-Lautsprecher

    •  /