Finfisher: Wie der CCC einen Staatstrojaner attribuiert

36C3

Mit einer Strafanzeige gegen den Staatstrojaner-Hersteller Finfisher soll der Export von Überwachungssoftware in bestimmte Länder aufgeklärt werden. Der CCC hat nun nachgewiesen, dass in der Türkei eingesetzte Software wohl aus Deutschland stammt.

Ein Bericht von veröffentlicht am
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet.
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet. (Bild: Access Now/Screenshot: Golem.de)

Der Chaos Computer Club (CCC) will mit einer Analyse von Spionagesoftware die Vorwürfe gegen den Münchner Staatstrojaner-Hersteller Finfisher untermauern. Die Untersuchung von 28 Varianten der Software Finspy für Android-Geräte habe ergeben, dass eines des Exemplare eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt und in der Türkei eingesetzt worden sei. Anlass der Analyse ist eine Anzeige von vier Nichtregierungsorganisationen bei der Staatsanwaltschaft München gegen Finfisher. Der CCC bestätigt damit im Wesentlichen die Ergebnisse, die schon eine Analyse von Finspy durch die Organisation Access Now vom Mai 2018 ergeben hatte (PDF).

Inhalt:
  1. Finfisher: Wie der CCC einen Staatstrojaner attribuiert
  2. Konfiguration in Metadaten versteckt

Die Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (ROG), das European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org hatten die Anzeige (PDF) im September 2019 eingereicht. Dabei geht es um mögliche Verstöße gegen das Außenwirtschaftsgesetz. Überwachungssoftware gehört zu den sogenannten Dual-Use-Gütern, deren Verkauf in der EU seit 2015 nach den Maßstäben des Wassenaar-Exportkontrollabkommens reguliert ist.

Hat Finfisher die Software in die Türkei verkauft?

Finfisher hätte demnach eine Ausfuhrgenehmigung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) beantragen müssen. Das war aber Medienberichten vom Mai 2018 zufolge nicht geschehen. Denn das zuständige Bundeswirtschaftsministerium habe angegeben, seit 2014 keinerlei Exportgenehmigungen für sogenannte Intrusion-Software erteilt zu haben. Dies wurde zuletzt im Juni 2019 von Staatssekretärin Claudia Dörr-Voß im Bundestag bestätigt.

Der zentrale Aspekt in einem möglichen Prozess dürfte die Frage darstellen, ob die im Juli 2017 gegen türkische Oppositionelle eingesetzte Software tatsächlich von Finfisher stammt und wissentlich zu diesem Zweck verkauft wurde. Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.

Leak von 2014 als Referenz

Stellenmarkt
  1. Mitarbeiter im Service Desk (m/w/d)
    Techniklotsen GmbH, Bielefeld
  2. Senior Referent IT / Agile Coach (m/w/d)
    L-Bank, Karlsruhe
Detailsuche

Die Attribution von Spionagesoftware steht dabei vor ähnlichen Problemen, wie sie bei der Zuordnung von Hackerangriffen auftreten. Die Hersteller verzichten in den Programmen wohlweislich auf Copyright-Angaben und versuchen nicht nur die Funktionen, sondern auch die Herkunft des Trojaners zu verschleiern. Zu Hilfe kam dem CCC jedoch der umfangreiche Hack von Finfisher (Gamma International) im Jahr 2014. "Unter den veröffentlichten Daten befinden sich mehrere Samples, welche somit zweifelsfrei der Firmengruppe Finfisher zugeordnet werden können", schreiben Neumann und Schröder. Diese dienten nun als Referenz für die Analyse von Unterschieden, Ähnlichkeiten und Weiterentwicklungen der anderen vorliegenden Samples von nicht zweifelsfrei geklärter Herkunft.

Als Indiz für die Attribution dienen dem CCC dabei unter anderem die verwendeten Zertifikate, mit denen die Samples signiert wurden. Allerdings sei Finfisher nach dem Leak von 2014 dazu übergegangen, sämtliche Samples individuell zu signieren, um einen gemeinsamen Ursprung zu verschleiern. Nicht geändert wurde demnach jedoch die Methode, um die Schadsoftware auf den spezifischen Endkunden anzupassen. "Alle extrahierbaren Konfigurationen liegen in einem Binärformat vor, dessen Strukturen untereinander gleiche Muster aufweisen", heißt es.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Konfiguration in Metadaten versteckt 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Spionagesoftware
Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher
artikel-bild
Nach langer Sperre
Wikipedia in der Türkei wieder zugänglich
artikel-bild
Gericht
Keine anonymen Prepaid-SIMs in Deutschland
artikel-bild
Landesdatenschutzbeauftragter
Datenschützer sollen Open Source empfehlen
artikel-bild
Bitwarden und KeepassXC
Wohin mit all den Passwörtern?
Meistgelesen
artikel-bild
Matrix
Grundschule forkt Messenger
artikel-bild
Sam Zeloof
Student baut Chip mit 1.200 Transistoren
artikel-bild
Elektrotransporter
Volkswagen zeigt künftigen ID. Buzz
artikel-bild
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"
artikel-bild
Serielle Schnittstellen
Wie funktioniert PCI Express?
Kommentarübersicht
Re: Und wenn?
User_x 29. Dez 2019

Ja, nennt sich Geldbörse. Man kann vieles darüber verfolgen, und es wird noch enger...

Re: Finfisher GmbH
volkeru 29. Dez 2019

Wer ein Open Source Betriebssystem nutzt, wie z.B. LineageOS und Open Source Apps, wie z...

Re: attributiert = Informatik (Langenscheidt...
Eheran 29. Dez 2019

Aber was hat das dann mit Langenscheidt zu tun? Wenn, dann wäre ja das Wort mit/ohne t...

Re: OT: Kann jemand ein Vortrag vom CCC empfehlen?
Schleicher 29. Dez 2019

Schau mal bei blog.fefe vorbei der gibt ein paar Hinweise, was man schauen könnte. Lade...

Aktuell auf der Startseite von Golem.de
Digitalisierung
500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
Artikel
  1. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  2. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.

  3. Minderungsrecht: 1&1 bietet Kunden nur 6 Euro bei schwacher Datenrate
    Minderungsrecht
    1&1 bietet Kunden nur 6 Euro bei schwacher Datenrate

    Das neue TKG-Minderungsrecht der Bundesnetzagentur bei schwacher Datenrate scheint in der Praxis keine Lösung zu sein. 1&1 rechnet das Ergebnis klein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /