Hersteller von Regierungsspyware FinFisher gehackt

Ein unbekannter Hacker mit dem Pseudonym Phineas Fisher hat Gamma Group gehackt, den Hersteller der Spyware FinFisher. Durch die Veröffentlichung von Daten mit dem Umfang von 40 GByte brachte er Licht ins Dunkel des vielfältigen Angebots von Überwachungs- und Spionagesoftware, die das britisch-deutsche Unternehmen an Regierungen und Ermittlungsbehörden verkauft.

Einzelheiten dazu machte der Hacker mit dem parodistischen Twitter-Konto @GammaGroupPR bekannt, das für die Angebote des Spyware-Herstellers zu werben scheint. „Holen Sie sich Ihre kostenlose Probeversion von FinSpy Mobile“, heißt es dort beispielsweise. „Es unterstützt Android, Blackberry, Windows Mobile und Symbian.“

FinFisher ist eine Software-Suite, zu der mit FinSpy eine Trojaner-Software für den Fernzugriff auf infizierte Rechner gehört, die unter Windows, Mac OS X sowie Linux einsatzfähig ist. Die Programme können Rechner übernehmen, Dateien kopieren, den Arbeitsspeicher herunterladen, Skype-Gespräche abhören, Tastatureingaben mitschneiden – und offenbar noch vieles mehr, wie durch den Hack enthüllt wird.

Dem Firmenkonglomerat mit Niederlassungen unter anderem in München wurde wiederholt vorgeworfen, dass es seine Software auch an nahöstliche Unterdrückungsregime verkauft. In Bahrain beispielsweise wurden die Hackertools gegen Menschenrechtsaktivisten eingesetzt. Gamma Group verteidigte sich jedoch stets damit, dass es die Software nur an „gute“ Regierungen verkaufe – autoritäre Regierungen könnten sie nur auf illegale Weise erworben haben.

Das sieht Phineas Fisher jetzt als widerlegte Schutzbehauptung an, wie er in einem Beitrag auf Reddit darlegt: „Und das war das Ende der Geschichte bis vor ein paar Tagen, als ich mich hineinhackte und 40 GByte Daten aus Gammas Netzwerken holte. Ich habe harte Beweise dafür, dass sie ihre Software an Leute verkauften (und es noch immer tun), die sie für Angriffe auf bahrainische Aktivisten nutzen – und es steckt noch eine Menge mehr in diesen 40 GByte.“ Der erfolgreiche Hacker bat um schnelle und große Verbreitung der Dokumente, die inzwischen auch bei Netzpolitik.org gespiegelt werden.

Dabei ist unter anderem eine Preisliste für die Spyware-Lizenzen und Trainingskurse für ihren Einsatz, auf der nicht selten sechsstellige Euro-Beträge auftauchen. Bekannt wurde 2013, dass auch die deutsche Bundesregierung 147.000 Euro für die einjährige Nutzung der Überwachungssoftware FinSpy auf zehn Rechnern ausgab. Die Software musste außerdem noch an rechtliche Anforderungen angepasst und weiteren Tests unterzogen werden.

Eine Tabellenkalkulationsblatt gibt Auskunft darüber, inwieweit FinFisher in der Lage ist, die Erkennung durch 35 führende Antivirus-Programme zu vermeiden. Aufgeschlüsselt wird die Nutzung der Spyware nach Ländern in den vergangenen Jahren. Versionshinweise verraten mehr über die laufende Programmpflege. So sollen Patches im April 2014 dafür gesorgt haben, dass Microsoft Security Essentials das Rootkit Gammas nicht aufspürt. Einem weiteren Hinweis zufolge kann die Malware auch Windows-Systeme mit zwei angeschlossenen Bildschirmen überwachen – und das Mitlesen von E-Mails bei Mozilla Thunderbird sowie Apple Mail sei verbessert worden.

Die Dokumente listen angreifbare Anwendungen auf und auch Software, die einer Überwachung entgegenstehen. So soll etwa bei Skype-Gesprächen unter OS X FinFisher erkannt und die aktive Aufnahme angezeigt werden. Das gelte ähnlich bei der Skype-App für das Modern-UI von Windows 8, während der Desktop-Client die Spyware nicht bemerke. Noch nicht lieferbar, aber bereits mit Preisen avisiert ist Spionagesoftware für Apples Mobilbetriebssystem iOS 7.

Auf die Rechner der Opfer kann die Spyware auf den bei Malware schon länger üblichen Wegen kommen. Zur Verfügung stehen beispielsweise ein vorgetäuschter Updater für den Adobe Flash Player oder ein Firefox-Plug-in für RealPlayer. Exploits scheint Gamma auch von der umstrittenen französischen Sicherheitsfirma Vupen zu beziehen, die für den Verkauf von Zero-Day-Lücken bekannt ist.

[mit Material von Violet Blue, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago