Finfisher: Wie der CCC einen Staatstrojaner attribuiert

Der Chaos Computer Club (CCC) will mit einer Analyse von Spionagesoftware die Vorwürfe gegen den Münchner Staatstrojaner-Hersteller Finfisher untermauern. Die Untersuchung von 28 Varianten der Software Finspy für Android-Geräte habe ergeben, dass eines des Exemplare eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt und in der Türkei eingesetzt worden sei. Anlass der Analyse ist eine Anzeige von vier Nichtregierungsorganisationen bei der Staatsanwaltschaft München gegen Finfisher. Der CCC bestätigt damit im Wesentlichen die Ergebnisse, die schon eine Analyse von Finspy durch die Organisation Access Now vom Mai 2018 ergeben hatte (PDF).

Die Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (ROG), das European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org hatten die Anzeige (PDF) im September 2019 eingereicht. Dabei geht es um mögliche Verstöße gegen das Außenwirtschaftsgesetz. Überwachungssoftware gehört zu den sogenannten Dual-Use-Gütern, deren Verkauf in der EU seit 2015 nach den Maßstäben des Wassenaar-Exportkontrollabkommens reguliert ist.

Hat Finfisher die Software in die Türkei verkauft?

Finfisher hätte demnach eine Ausfuhrgenehmigung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) beantragen müssen. Das war aber Medienberichten vom Mai 2018 zufolge nicht geschehen. Denn das zuständige Bundeswirtschaftsministerium habe angegeben, seit 2014 keinerlei Exportgenehmigungen für sogenannte Intrusion-Software erteilt zu haben. Dies wurde zuletzt im Juni 2019 von Staatssekretärin Claudia Dörr-Voß im Bundestag bestätigt.

Der zentrale Aspekt in einem möglichen Prozess dürfte die Frage darstellen, ob die im Juli 2017 gegen türkische Oppositionelle eingesetzte Software tatsächlich von Finfisher stammt und wissentlich zu diesem Zweck verkauft wurde. Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.

Leak von 2014 als Referenz

Stellenmarkt

1. European Bank for Financial Services GmbH (ebase®), Aschheim
2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Die Attribution von Spionagesoftware steht dabei vor ähnlichen Problemen, wie sie bei der Zuordnung von Hackerangriffen auftreten. Die Hersteller verzichten in den Programmen wohlweislich auf Copyright-Angaben und versuchen nicht nur die Funktionen, sondern auch die Herkunft des Trojaners zu verschleiern. Zu Hilfe kam dem CCC jedoch der umfangreiche Hack von Finfisher (Gamma International) im Jahr 2014. "Unter den veröffentlichten Daten befinden sich mehrere Samples, welche somit zweifelsfrei der Firmengruppe Finfisher zugeordnet werden können", schreiben Neumann und Schröder. Diese dienten nun als Referenz für die Analyse von Unterschieden, Ähnlichkeiten und Weiterentwicklungen der anderen vorliegenden Samples von nicht zweifelsfrei geklärter Herkunft.

Als Indiz für die Attribution dienen dem CCC dabei unter anderem die verwendeten Zertifikate, mit denen die Samples signiert wurden. Allerdings sei Finfisher nach dem Leak von 2014 dazu übergegangen, sämtliche Samples individuell zu signieren, um einen gemeinsamen Ursprung zu verschleiern. Nicht geändert wurde demnach jedoch die Methode, um die Schadsoftware auf den spezifischen Endkunden anzupassen. "Alle extrahierbaren Konfigurationen liegen in einem Binärformat vor, dessen Strukturen untereinander gleiche Muster aufweisen", heißt es.