ÜberwachungDer nächste Staatstrojaner ist enttarnt

Mit einem deutsch-britischen Spionageprogramm sollten offenbar Oppositionelle aus Bahrain überwacht werden. Jetzt wurde die Software der Gamma Group erstmals analysiert. von 

Software Spionage Überwachung FinFisher

Screenshot der Software-Analyse von Morgan Marquis-Boire  |  © citizenlab.org

FinFisher ist ein Spionageprogramm, von dem auch Experten bislang nur wussten, dass es existiert und was es kann. Gesehen hat es außer den Käufern noch niemand – bis jetzt.

Aktivisten, die sich zur Pro-Demokratie-Bewegung in Bahrain zählen, haben Bloomberg News mehrere E-Mails geschickt , mit der Bitte, die verdächtigen Anhänge in diesen Mails untersuchen zu lassen. Bloomberg beauftragte daraufhin den Sicherheitsexperten Morgan Marquis-Boire vom Citizen Lab mit der Analyse. Marquis-Boire und sein Team fanden in den Mails etwas, das sie für FinSpy halten, einen Teil der Überwachungslösung FinFisher.

Anzeige

FinSpy ist ein Produkt der Firma Gamma International UK Limited, die zum britisch-deutschen Unternehmensverbund Gamma Group gehört. Ende Dezember 2011 hatte WikiLeaks Dokumente und Broschüren von Überwachungstechnologie-Herstellern veröffentlicht, aus denen auch hervorgeht, wozu FinSpy in der Lage ist . Die Spähsoftware kann demnach unter anderem eingesetzt werden, um Skype-Gespräche und -Chats mitzuschneiden, sie kann den Computernutzer über dessen Webcam und das Mikrofon im Rechner beobachten und alle Tastatureingaben – also auch Passwörter – aufzeichnen. Und sie ist für normale Antiviren-Programme unsichtbar.

Der Spion steckte in Foto-Anhängen

Marquis-Boire hat bei seinen Analysen weitere Details entdeckt, darunter auch den Weg, auf dem FinSpy auf dem Zielrechner landet: Die Pro-Demokratie-Aktivisten aus Bahrain hatten E-Mails mit Foto-Anhängen bekommen. Der vermeintliche Absender war eine Mitarbeiterin von Al Jazeera, die Fotos sollten zum Beispiel belegen, dass in Bahrain gefoltert wird.

Die einzelnen Dateien hatten Namen wie exe.Rajab1.jpg , doch mit einem Trick hatten die Absender dafür gesorgt, dass dieser Dateiname rückwärts dargestellt wurde. In Wahrheit handelte es sich um eine ausführbare Datei im .exe-Format. Wer sie anklickte, startete die Installation des FinSpy-Trojaners.

Patrick Beuth
Patrick Beuth

Patrick Beuth ist Redakteur im Ressort Digital bei ZEIT ONLINE. Seine Profilseite finden Sie hier.

FinSpy verhindert auf zahlreichen, für die Analysten geradezu frustrierend intelligenten Wegen, entdeckt zu werden. Das Programm sammelt massenweise Daten des Computernutzers, verschlüsselt und versteckt sie. Die untersuchte Version nahm anschließend Kontakt zu einem Server auf, der von Bahrains größtem Telekommunikationsanbieter Batelco betrieben wird. Die Software überspielte den größten Teil der gespeicherten Daten an diesen Server.

Im Code der Software fanden die Sicherheitsexperten Abschnitte, die Buchstabenkombinationen wie "finspyv4.01" und "finspyv2" enthielten – ein erster Hinweis auf den Hersteller. Sie konnten außerdem eine Signatur der Software erstellen, die sie an andere Fachleute weiterleiteten, um sie mit bekannten Signaturen vergleichen zu lassen. Und tatsächlich gab es eine Übereinstimmung, und zwar mit einem Programm, bei dem es sich offenbar um eine Testversion eines FinFisher-Produkts handelt. Das jedenfalls lassen die Domains vermuten, mit denen sich diese Testversion verbindet: ff-demo.blogdns.org und tiger.gamma-international.de . Letztere ist registriert auf Martin Muench von der Gamma International GmbH in München , zuständig für das FinFisher-Produktportfolio .

Leserkommentare
  1. ...wo das Problem liegen soll, wenn überwacht wird, ob und in welchem Umfang radikale Kräfte aus dem Iran in Bahrain mitmischen, vgl. diesen aufschlussreichen Bericht

    http://www.reuters.com/article/2012/05/18/iran-bahrain-idUSL5E8GIA2G2012...

    Reaktionen auf diesen Kommentar anzeigen

    Wer entscheidet ob Jemand ein Radikaler ist den man bekämpfen muss?

    Wir reden hier von Diktaturen.

    Da mag das Rosenwasser noch so lustig von RTL kommentiert werden, während wir uns die Analyse des Niki Laudas anhören, werden ein paar Kilometer weiter Menschen gefoltert/ermordet.

    Mir geht es hier nicht um die Frage ob man da Rennen fahren darf oder nicht, mir geht es darum das wir nicht von einem Sportevent auf das Land schliessen. Bahrain ist eine Diktatur, die können sich hundert mal Monarchie nennen, es bleibt eine Diktatur.

    In der bestimmt der Diktator wer ein Radikaler (er nennt das dann Staatsfeind) ist, wer zu verhaften, wer zu foltern und wer zu liquidieren ist.

    Bevor das zu trocken wird, Volker Pispers:

    http://www.youtube.com/watch?v=sg9bQDqKJnU&feature=related

    So unterhaltsam das ist, die Fakten sind alle richtig. Über den ein oder anderen Rückschluß kann man streiten nur ändert es nichts daran, wie mit den Menschen verfahren wird.

    Die Software wurde hier entwickelt und für "gutes" Geld verkauft. Unsere Behörden wissen das nicht nur, sie befördern es auch und hier liegt doch das Problem.

    Wir helfen bewusst dabei das Diktatoren ihre Bevölkerung unterdrücken können und wenn sie das nicht mehr hinbekommen, dann stellen wir sie in Den Haag vor den internationalen Gerichtshof für Menschenrechte.

    Okay, kein Problem, Doppelmoral ist nichts Neues und wenn wir nicht liefern, liefert ein Anderer.

    Soll er, mir wäre lieber wir würden die Antivirsoftware liefern.

    • xRGBx
    • 26. Juli 2012 15:51 Uhr

    Entfernt. Bitte verzichten Sie auf Unterstellungen. Danke, die Redaktion/mk

    Interessant, Sie können hier kein Problem erkennen. Die eher gewaltfreie Opposition in Bahrain ist also kriminell ihrer Meinung nach und darf entsprechend ausgeforscht werden. Was meinen Sie wohl was diesen Leuten im nicht demokratischen Bahrain danach zustoßen wird?

    In ihren anderen Kommentaren kann ich hingegen immer bewundern wie sie für die gewalttätigen Rebellen (Terroristen) in Syrien sprechen. Wie sie die dortige nicht demokratische Regierung Regime nennen und damit jedwede Gewalt der Rebellen rechtfertigen oder leugnen.

    Ihre Logik bleibt mir verschlossen.

    Ich möchte auch anmerken dass es in Bahrain im Gegensatz zu Syrien keinerlei Reformen gibt! Und das man in Bahrain gerne mal das Militär des Nachbarn Saudi Arabien auf seine Demonstranten losgehen lässt!

  2. gut dass ich keine Webcam mehr brauche und Skype jetzt uninteressant wird...

    Man kann ja nie wissen wenn selbst das BKA anscheinend schon testet.

    Tolle Welt -.-

  3. hier wirklich das "Bahrain hat ein Unterdrückerregieme"-Fass aufmachen? Sie wissen, dass Sie damit Shiiten helfen würden?
    Ausserdem haben doch die USA da doch einen Stützpunkt, die USA sind doch die Guten, darf man das denn?

    Eine Leserempfehlung
    Reaktionen auf diesen Kommentar anzeigen

    Wer kein klares Freund/Feind Denken hat kann feststellen, dass die Zeit durchaus versucht ausgewogen zu berichten. Selektive Wahrnehmung führt natürlich dazu, dass man dass was man sucht (schlechte Berichterstattung über den "Freund") sich viel besser merkt, als dass, von dem man glaubt, dass es nicht existiert.

  4. Die Experten sind sich meines Wissens nach noch sehr uneins, ob man schon von Cyberwar sprechen kann, und ob das einer vernünftigen Diskussion dienlich wäre. Mit meinem mässigen Wissen in der Materie hätte ich bisher behauptet, wir seien noch weit vom Cyberwar entfernt. Dieser Artikel scheint aber das Gegenteil zu zeigen - es gibt Proliferation, und je eher Staaten Cyberwar wie "echten" Krieg behandeln, desto eher wird es Sanktionen, Regulierungen, Meldepflichten etc. geben. Vielleicht ist das das kleinere Übel... vielleicht ist der Schritt, solche Programme wie ein Waffensystem zu verstehen längst überfällig.

    • xpeten
    • 26. Juli 2012 14:18 Uhr

    und Sturmgewehre für die Niederschlagung von Freiheitsbewegungen,
    deutsche Spionagetechnik für deren Ausspionierung.

    Das tut weh. Man muss der Welt mitteilen dass es nur eine kleine Minderheit von skrupellosen Geschäftemachern und Wirtschaftslobbyisten ist, die dies zu verantworten haben.

    Reaktionen auf diesen Kommentar anzeigen

    mit guten Kontakten zu unseren Parteien und großen Geldkoffern.

    Man sollte immer berücksichtigen, dass im Westen ein Erfolg der Opposition in Bahrain im Westen zu der Sorge führt, mit der Übernahme der Macht durch die schiitische Bevölkerung könne dort der Iran massiv an Einfluss gewinnen. Nun muss man sich aber überlegen, wo Bahrain liegt: vor der iranischen Küste in der Zufahrt zum Persischen Golf.

    Würde die schiitische Bebölkerungsmehrheit in Bahrain die Macht übernehmen, wäre die für die weltweite Ölversorgung eminent wichtige sichere Zufahrt zum Persischen Golf gefährdet: die dortigen Emirate fielen als Ölliferanten möglicherweise weg. Nach westlicher Lesart wäre also die Demokratisierung Bahrains mit existenziellen Risiken behaftet. Aus diesem Grunde wurde das Zusammenschießen der Opposition im Westen auch eher mit Wohlwollen betrachtet.

    Und es gibt noch einen weiteren wichtigen Aspekt: ein Zugewinn an Einfluss des Irans in Bahrein wäre äußerst problematisch für die Sicherheit und den Fortbestand Israels. Es wäre eine Katastrophe für Israel, würde es zu einem Krieg mit dem Iran kommen und die Verbündeten müssten wegen Treibstoffmangels passen. Israel wäre auf sich allein gestellt - und mehr noch, dem Land würde sehr schnell die Luft ausgehen. Nicht ohne Grund wurde die Panzerlieferung an Saudi-Arabien von Israel nicht nur genehmigt, sondern sogar massiv unterstützt. Die Demokratisierung des Nahen Ostens - so ist die Lesart unter den Falken in Israel - gefährdet den jüdischen Staat mehr, als es die Despoten jemals taten.

  5. mit guten Kontakten zu unseren Parteien und großen Geldkoffern.

    Antwort auf "Deutsche Abräumpanzer"
  6. Darf eine deutsche Firma Malware verkaufen? Kennt jemand nähere Details zum "Hackerparagraphen", gibt es hierfür denn Sondergenehmigungen?

    Solch eine Software ist naiv und gefährdet die Allgemeinheit. Allzu leicht lassen sich die infizierten Rechner nun von dritten misshandeln, ist die Malware einmal analysiert, ist nur eine Frage der Zeit..

    Reaktionen auf diesen Kommentar anzeigen
    • xpeten
    • 26. Juli 2012 14:26 Uhr

    stellen sich keine Fragen nach Legalität.

    Es ist unmoralisch aber scheinbar Staatsräson.

    Usere Regierungen dürfen ja auch Hehlerei betreiben. Das Bundesverfassungsgericht richtets schon. George Orwell sagte es bereits: Manche sind gleicher!

    • xpeten
    • 26. Juli 2012 14:26 Uhr

    stellen sich keine Fragen nach Legalität.

Bitte melden Sie sich an, um zu kommentieren

Service