Staatstrojaner: Gamma Group wirbt mit Abhören von SSL-Verbindungen

Die vom Hersteller Gamma Group entwickelte Spionagesoftware Finfisher soll SSL-Verbindungen abhören, mit Truecrypt verschlüsselte Festplatten infizieren und WPA2-Passwörter knacken können. Außerdem hat das Unternehmen den Gründer von Backtrack-Linux Martin Johannes Münch angeworben. Mehrere Mitarbeiter hätten hochkarätige Vorträge auf den Sicherheitskonferenzen Defcon und Black Hat gehalten, schreibt die Gamma Group. Das besagen ihre Werbebroschüren, die eigentlich nicht an die Öffentlichkeit gelangen sollten. Das Sicherheitsunternehmen F-Secure hat die Folien online gestellt.

In den Folien stellt der Hersteller von Spionage- und Trojanersoftware seine Produkte vor. Die FinUSB-Suite sei dafür entwickelt worden, heimlich Daten von Rechnern zu extrahieren. Die Analyse eines Opferrechners soll nur 20 bis 30 Sekunden dauern und wichtige Daten automatisch auf den USB-Stick übertragen. Kopierte Daten werden dabei komplett verschlüsselt und sollen sich nur im Büro des Angreifers wieder entschlüsseln lassen. Die FinUSB-Suite soll sich auch vom "Reinigungspersonal" verwenden lassen.

Passwörter aus SSL-Verbindungen

Spannender für Datendiebe wird es mit dem Fintrusion Kit. Es ist für den Einbruch in Netzwerke und das Abgreifen von Passwörtern gedacht. Damit sollen sich Benutzernamen und Passwörter auch aus mit SSL verschlüsselten Verbindungen extrahieren lassen, wie es in den Broschüren heißt, darunter Gmail, Outlook.com und Facebook. WPA1- und WPA2-Passwörter kann die Software mit Hilfe von Dictionary-Angriffen entschlüsseln. Außerdem lässt sich laut Gamma mit dem Fintrusion Kit ein eigenes Netzwerk für Spoofing-Angriffe aufspannen.

Gamma bietet auch den Finfly-USB-Stick an. Er soll wie ein gewöhnlicher USB-Stick aussehen, der allerdings versteckte Funktionen hat, die für den Angriff auf Windows-Rechner konzipiert sind. Offenbar ist der Stick für die Installation eines Payloads gedacht, etwa eines Trojaners. Neben einer automatischen Installation mit einem eigenen bootfähigen System soll der Finfly-USB-Stick damit Trojaner selbst auf Festplatten installieren können, die mit Truecrypt vollständig verschlüsselt sind.

Infektion über Gmail oder Youtube

Finfly Web bietet "zahlreiche Module" für die Infizierung eines Rechners und soll alle gebräuchlichen Browser unterstützen. Damit ließen sich auch Webseiten erstellen, über die ein Opfer infiziert werden könne, selbst wenn nur die E-Mail-Adresse oder der Benutzername bekannt sei, die ein Opfer in einem Forum verwende, heißt es in einer Folie. Ferner ließen sich Pakete erstellen, "um Module selbst in populäre Netzwerke wie Gmail oder Youtube einzuschleusen."

Mit Finfly ISP lassen sich von Servern aus DSL-Benutzername und -Passwörter, MAC-Adressen, die Einwahlrufnummer und auch IMSI, T-IMSI und MSISDN in mobilen Netzwerken auslesen. Die Software versteckt Trojaner in Downloads für Opferrechner, etwa indem sie Spionagesoftware in Updates versteckt. Auf der entsprechenden Folie ist ein Screenshot eines Flashplayer-Updates zu sehen. Spionagesoftware lässt sich mit Finfly ISP auch über präparierte Webseiten einschleusen.

Spionagesoftware für Mobiltelefone

Auch an die Benutzer mobiler Geräte hat die Gamma Group gedacht. Seine Software bietet der Trojaner-Hersteller für Blackberry, iOS, Android und Windows Phone an und wirbt vor allem mit der Überwachung von Blackberry Messenger. Der E-Mail-Verkehr, die Ortsbestimmung und eine Echtzeitüberwachung durch stumme Anrufe sollen durch die Überwachungssoftware gesammelt werden können. Außerdem lassen sich von infizierten Mobiltelefonen Anrufe und SMS abhören und die Verbindungsdaten übertragen. Dabei werde die Kommunikation zum Server des Angreifers vollkommen verschlüsselt, so das Unternehmen in seinen Folien.

Das Bundesinnenministerium hat vor wenigen Wochen von der britischen Gamma Group einen Trojaner erworben, der möglicherweise als Staatstrojaner zum Einsatz kommen soll. Laut einem internen Dokument hatte das Bundeskriminalamt bereits den Staatstrojaner Finfisher/Finspy von Gamma gekauft. Die Bundesregierung hatte schon im Dezember 2010 eingeräumt, dass das BKA eine Testversion von Finspy besitzt. Die gleiche Software wurde unter anderem vom Mubarak-Regime in Ägypten genutzt.