Abo
  • Services:
Anzeige
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

Hacking Team: Handbücher zeigen Infektion über Code Injection und WLAN

Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln.
Das Überwachungsprogramm RCS kann umfassend Daten über Zielpersonen sammeln. (Bild: Hacking Team)

"Internetüberwachung leicht gemacht": Die italienische Firma Hacking Team gilt neben Finfisher als bekanntester Hersteller von Spionagesoftware. Nun veröffentlichte Handbücher zeigen die Möglichkeiten der Überwachung.

Anzeige

Die US-amerikanische Website The Intercept hat mehrere ausführliche Nutzerhandbücher des Spionagesoftwareherstellers Hacking Team veröffentlicht. Aus den Unterlagen geht hervor, wie die Nutzer des Programms in die Computer und Mobiltelefone von Zielpersonen eindringen und die Geräte überwachen können. Das Programm mit dem Namen Remote Control System (RCS) nutzt dabei zahlreiche bekannte Angriffsszenarien wie das Einschleusen von Code über infizierte Downloaddateien oder Websites. Auch listet das Handbuch verschiedene Verfahren auf, um Geräte in offenen oder geschützten WLAN-Netzen zu infizieren.

  • Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)
  • Für die Zielpersonen werden die unterschiedlichen Daten zentral gesammelt.
  • Die einzelnen Spähresultate wie Skype-Mitschnitte oder Screenshots lassen sich in einer Übersicht anzeigen.
  • Von A wie Adressbuch bis ...
  • ... U wie URL können einzelne Medien- und Dateitypen ausgelesen werden.
  • Die gängigen Betriebssysteme von PCs und Smartphones werden erfasst.
  • Die Ermittler können einzelne Exe-Dateien angeben, die beim Aufruf kompromittiert werden sollen.
  • Auf verschiedene Weise versucht RCS9, in geschützte WLAN-Netze einzudringen.
Das Programm Remote Control System von Hacking Team kann Verbindungen zwischen Zielpersonen visualisieren. (Fotos: Hacking Team/The Intercept)

Die italienische Firma Hacking Team ist neben dem deutsch-britischen Unternehmen Gamma/Finfisher inzwischen der bekannteste Hersteller von Spionagesoftware weltweit. Ebenso wie Finfisher steht auch Hacking Team in dem Ruf, seine Programme an repressive Staaten zu verkaufen. Dem Bericht von The Intercept zufolge versicherte das Unternehmen jedoch, nicht in Länder zu exportieren, die auf schwarzen Listen stünden oder die schwere Menschenrechtsverstöße ermöglichten. Hacking Team wollte aber keine Angaben dazu machen, welche Kunden nicht beliefert worden seien.

Komplette Überwachung des Rechners

Die von The Intercept veröffentlichten Handbücher stammen vom September 2013 und sind zum Teil fast 200 Seiten lang. Sie wenden sich an Analysten, Administratoren, Techniker und Systemadministratoren. Während das Analysten-Handbuch vor allem die Funktionen des Spähprogramms zur Überwachung beschreibt, werden den Technikern die verschiedenen Einbruchswerkzeuge und Spähmodule von RCS 9 erläutert.

Hacking Team wirbt für RCS 9 mit dem Slogan "Internetüberwachung leicht gemacht". Das Programm ermöglicht dabei das vollständige Auslesen der Nutzerdaten: von A wie Adressbuch bis U wie die URL der besuchten Websites. Überwacht werden können Anwendungen wie Skype, die Passwörter des Nutzers, Bildschirm, Tastatur, Kamera, Mikro und die geographische Position. Ein Mausmodul zeichnet beim Klicken kleine Ausschnitte um den Mauszeiger auf, um virtuelle Tastaturen auszulesen, die einen Keylogger umgehen sollen. Die gewonnenen Daten können so aufbereitet werden, dass Verbindungen zwischen überwachten Personen deutlich werden. Dies gilt beispielsweise, wenn zwei Zielpersonen mit einem gemeinsamen Bekannten telefonieren oder sich zeitgleich am selben Ort aufhalten.

Netzwerkserver bei den Providern

Um die Geräte von Verdächtigen zu infizieren, nutzt Hacking Team Methoden, die auch von Kriminellen oder Geheimdiensten verwendet werden. Der sogenannte Network Injector erlaubt es den Ermittlern demnach, die "http-Verbindungen abzuhören und ein Programm auf dem Gerät einzuschleusen". Dazu gibt es zwei Methoden: Zum einen kann ein Server bei einem Netzwerkprovider den Traffic überwachen und manipulierten Code zurückgeben, zum anderen kann ein Laptop genutzt werden, um in der Nähe der Zielperson über LAN und WLAN den Code einzuschleusen.

Das Programm erlaubt es den Ermittlern, verschiedene Suchbegriffe wie Downloads oder Websites einzugeben, die dann manipuliert werden. Explizit wird dabei die Exe-Datei des Firefox-Setups genannt. Dem Handbuch zufolge kann aber jede beliebige Exe-Datei infiziert werden. Als Beispiel für eine infizierte Website wird www.oracle.com erwähnt. Der Network Injector kann jedoch keine FTP- oder HTTPS-Verbindungen überwachen. Die Internetverbindung kann unter anderem durch die Eingabe von IP- und Mac-Adressen oder Adressbereichen identifiziert werden.

Neben Exe- und HTML-Dateien gibt es noch die Möglichkeit, beim Nutzer Flash-Videos zu blockieren und ihn zum Installieren eines manipulierten Flash-Updates aufzufordern. Auch kann der Rechner über ein angebliches Update der Java Runtime Environment informiert werden, so dass eine manipulierte Version heruntergeladen wird.

Google und Microsoft reagieren

Das sogenannte Taktische Kontrollzentrum wird auf einem Laptop der Ermittler installiert. Damit kann in LAN- oder WLAN-Netze eingedrungen werden, um die Spähprogramme einzuschleusen. Bei geschützten WLAN-Netzen muss dabei zuvor das Passwort geknackt werden. Zu diesem Zweck nennt das Handbuch drei Methoden: eine WPA/WPA2-Attacke mit Wörterbüchern der häufigsten Passwörter sowie zwei Bruteforce-Angriffe auf das verschlüsselte WEP-Passwort und die WPS-PIN. Nicht identifizierte Geräte können dabei zur Authentifizierung gezwungen werden. Auch besteht die Möglichkeit, einen Access Point zu emulieren und die Zielperson in dieses Netz zu locken.

Einzelne Methoden von RCS waren in den vergangenen Monaten bereits von der kanadischen Forschungseinrichtung Citizen Lab veröffentlicht worden. Verschiedene Anbieter wie Youtube und Microsoft haben nach Angaben von Citizen Lab inzwischen auf die Berichte reagiert und verschlüsseln ihren Traffic mit HTTPS.


eye home zur Startseite
Slomo97 05. Nov 2014

Seit wann ist rechtfertigt SSL einen Premiumdienst? Das sollte STANDARD sein.

caveman 04. Nov 2014

Da steht aber "infizierte Website" das meiner Meinung nach nichts mit einer Man in the...

Ipa 04. Nov 2014

Diese Software wurde für dubiose Privatdetektive, Hobbyschnüffler und eifersüchtige...

Ipa 04. Nov 2014

Aus informierten Kreisen wurde gerade bekannt das Rocket Internet auch bald so einen...

Niantic 03. Nov 2014

das telnet "protocol" ist doch für ermittler viel zu kompliziert, und zudem noch...



Anzeige

Stellenmarkt
  1. Universitätsklinikum Bonn, Bonn
  2. Stadtwerke Augsburg Holding GmbH, Augsburg
  3. W&W Asset Management GmbH, Ludwigsburg
  4. Daimler AG, Sindelfingen


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Resident Evil: Vendetta 12,97€, John Wick: Kapitel 2 9,99€, Fight Club 7,99€ und...

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. RSA-Sicherheitslücke Infineon erzeugt Millionen unsicherer Krypto-Schlüssel
  2. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Wo liegt mein Fehler?

    Kite_ | 23:09

  2. Re: Mikrotik betroffen?

    chuck0r | 23:01

  3. Re: Ich wäre ja mal froh wenn Golem sein...

    divStar | 22:43

  4. Re: Guter Trend auf Golem

    divStar | 22:40

  5. Re: Und ...

    user0345 | 22:22


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel