Finfisher: Wie der CCC einen Staatstrojaner attribuiert

Mit einer Strafanzeige gegen den Staatstrojaner-Hersteller Finfisher soll der Export von Überwachungssoftware in bestimmte Länder aufgeklärt werden. Der CCC hat nun nachgewiesen, dass in der Türkei eingesetzte Software wohl aus Deutschland stammt.

Ein Bericht von veröffentlicht am
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet.
Über eine gefälschte Website wurde Finspy als Cloud-Service verbreitet. (Bild: Access Now/Screenshot: Golem.de)

Der Chaos Computer Club (CCC) will mit einer Analyse von Spionagesoftware die Vorwürfe gegen den Münchner Staatstrojaner-Hersteller Finfisher untermauern. Die Untersuchung von 28 Varianten der Software Finspy für Android-Geräte habe ergeben, dass eines des Exemplare eindeutig nach dem Inkrafttreten der EU-Exportkontrollvorschriften für Überwachungssoftware erstellt und in der Türkei eingesetzt worden sei. Anlass der Analyse ist eine Anzeige von vier Nichtregierungsorganisationen bei der Staatsanwaltschaft München gegen Finfisher. Der CCC bestätigt damit im Wesentlichen die Ergebnisse, die schon eine Analyse von Finspy durch die Organisation Access Now vom Mai 2018 ergeben hatte (PDF).

Inhalt:
  1. Finfisher: Wie der CCC einen Staatstrojaner attribuiert
  2. Konfiguration in Metadaten versteckt

Die Gesellschaft für Freiheitsrechte (GFF), Reporter ohne Grenzen (ROG), das European Center for Constitutional and Human Rights (ECCHR) und Netzpolitik.org hatten die Anzeige (PDF) im September 2019 eingereicht. Dabei geht es um mögliche Verstöße gegen das Außenwirtschaftsgesetz. Überwachungssoftware gehört zu den sogenannten Dual-Use-Gütern, deren Verkauf in der EU seit 2015 nach den Maßstäben des Wassenaar-Exportkontrollabkommens reguliert ist.

Hat Finfisher die Software in die Türkei verkauft?

Finfisher hätte demnach eine Ausfuhrgenehmigung beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (Bafa) beantragen müssen. Das war aber Medienberichten vom Mai 2018 zufolge nicht geschehen. Denn das zuständige Bundeswirtschaftsministerium habe angegeben, seit 2014 keinerlei Exportgenehmigungen für sogenannte Intrusion-Software erteilt zu haben. Dies wurde zuletzt im Juni 2019 von Staatssekretärin Claudia Dörr-Voß im Bundestag bestätigt.

Der zentrale Aspekt in einem möglichen Prozess dürfte die Frage darstellen, ob die im Juli 2017 gegen türkische Oppositionelle eingesetzte Software tatsächlich von Finfisher stammt und wissentlich zu diesem Zweck verkauft wurde. Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.

Leak von 2014 als Referenz

Stellenmarkt
  1. Mitarbeiter (m/w/d) IT Netzwerk Administration - Schwerpunkt SD-WAN und LAN
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
  2. Administrator ServiceNow (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Hamburg, München
Detailsuche

Die Attribution von Spionagesoftware steht dabei vor ähnlichen Problemen, wie sie bei der Zuordnung von Hackerangriffen auftreten. Die Hersteller verzichten in den Programmen wohlweislich auf Copyright-Angaben und versuchen nicht nur die Funktionen, sondern auch die Herkunft des Trojaners zu verschleiern. Zu Hilfe kam dem CCC jedoch der umfangreiche Hack von Finfisher (Gamma International) im Jahr 2014. "Unter den veröffentlichten Daten befinden sich mehrere Samples, welche somit zweifelsfrei der Firmengruppe Finfisher zugeordnet werden können", schreiben Neumann und Schröder. Diese dienten nun als Referenz für die Analyse von Unterschieden, Ähnlichkeiten und Weiterentwicklungen der anderen vorliegenden Samples von nicht zweifelsfrei geklärter Herkunft.

Als Indiz für die Attribution dienen dem CCC dabei unter anderem die verwendeten Zertifikate, mit denen die Samples signiert wurden. Allerdings sei Finfisher nach dem Leak von 2014 dazu übergegangen, sämtliche Samples individuell zu signieren, um einen gemeinsamen Ursprung zu verschleiern. Nicht geändert wurde demnach jedoch die Methode, um die Schadsoftware auf den spezifischen Endkunden anzupassen. "Alle extrahierbaren Konfigurationen liegen in einem Binärformat vor, dessen Strukturen untereinander gleiche Muster aufweisen", heißt es.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Konfiguration in Metadaten versteckt 
  1. 1
  2. 2
  3.  


User_x 29. Dez 2019

Ja, nennt sich Geldbörse. Man kann vieles darüber verfolgen, und es wird noch enger...

volkeru 29. Dez 2019

Wer ein Open Source Betriebssystem nutzt, wie z.B. LineageOS und Open Source Apps, wie z...

Eheran 29. Dez 2019

Aber was hat das dann mit Langenscheidt zu tun? Wenn, dann wäre ja das Wort mit/ohne t...

Schleicher 29. Dez 2019

Schau mal bei blog.fefe vorbei der gibt ein paar Hinweise, was man schauen könnte. Lade...



Aktuell auf der Startseite von Golem.de
Astro
Amazons erster Roboter kostet 1.500 US-Dollar

Astro heißt der erste Roboter von Amazon. Es ist eine Art rollender Echo Show mit Schwerpunkt auf Videoüberwachung.

Astro: Amazons erster Roboter kostet 1.500 US-Dollar
Artikel
  1. Amazon Alexa: Neuer Echo Show mit Personenerkennung wird aufgehängt
    Amazon Alexa
    Neuer Echo Show mit Personenerkennung wird aufgehängt

    Amazon erfindet den Echo Show neu: Der Echo Show 15 hat ein besonders großes Display und kann Personen erkennen.

  2. Cupra Urban Rebel: VW-Tochter kündigt Elektrorenner für 25.000 Euro an
    Cupra Urban Rebel
    VW-Tochter kündigt Elektrorenner für 25.000 Euro an

    Autobauer Cupra bringt mit dem Urban Rebel ein günstiges Elektroauto für all jene auf den Markt, denen der ID.Life von VW zu langweilig ist.

  3. Blink Video Doorbell: Amazon stellt Videotürklingel für 60 Euro vor
    Blink Video Doorbell
    Amazon stellt Videotürklingel für 60 Euro vor

    Amazon hat eine Videotürklingel unter dem Blink-Label vorgestellt. Sie soll vor allem mit einem günstigen Preis überzeugen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Echo Show 15 249,99€ • eero 6 Wifi 6 System 3er-Pack 299€ • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 6 UHDs kaufen, nur 4 bezahlen [Werbung]
    •  /