Hersteller von Regierungsspyware FinFisher gehackt

Ein unbekannter Hacker mit dem Pseudonym Phineas Fisher hat Gamma Group gehackt, den Hersteller der Spyware FinFisher. Durch die Veröffentlichung von Daten mit dem Umfang von 40 GByte brachte er Licht ins Dunkel des vielfältigen Angebots von Überwachungs- und Spionagesoftware, die das britisch-deutsche Unternehmen an Regierungen und Ermittlungsbehörden verkauft.

Einzelheiten dazu machte der Hacker mit dem parodistischen Twitter-Konto @GammaGroupPR bekannt, das für die Angebote des Spyware-Herstellers zu werben scheint. „Holen Sie sich Ihre kostenlose Probeversion von FinSpy Mobile“, heißt es dort beispielsweise. „Es unterstützt Android, Blackberry, Windows Mobile und Symbian.“

FinFisher ist eine Software-Suite, zu der mit FinSpy eine Trojaner-Software für den Fernzugriff auf infizierte Rechner gehört, die unter Windows, Mac OS X sowie Linux einsatzfähig ist. Die Programme können Rechner übernehmen, Dateien kopieren, den Arbeitsspeicher herunterladen, Skype-Gespräche abhören, Tastatureingaben mitschneiden – und offenbar noch vieles mehr, wie durch den Hack enthüllt wird.

Dem Firmenkonglomerat mit Niederlassungen unter anderem in München wurde wiederholt vorgeworfen, dass es seine Software auch an nahöstliche Unterdrückungsregime verkauft. In Bahrain beispielsweise wurden die Hackertools gegen Menschenrechtsaktivisten eingesetzt. Gamma Group verteidigte sich jedoch stets damit, dass es die Software nur an „gute“ Regierungen verkaufe – autoritäre Regierungen könnten sie nur auf illegale Weise erworben haben.

Das sieht Phineas Fisher jetzt als widerlegte Schutzbehauptung an, wie er in einem Beitrag auf Reddit darlegt: „Und das war das Ende der Geschichte bis vor ein paar Tagen, als ich mich hineinhackte und 40 GByte Daten aus Gammas Netzwerken holte. Ich habe harte Beweise dafür, dass sie ihre Software an Leute verkauften (und es noch immer tun), die sie für Angriffe auf bahrainische Aktivisten nutzen – und es steckt noch eine Menge mehr in diesen 40 GByte.“ Der erfolgreiche Hacker bat um schnelle und große Verbreitung der Dokumente, die inzwischen auch bei Netzpolitik.org gespiegelt werden.

Dabei ist unter anderem eine Preisliste für die Spyware-Lizenzen und Trainingskurse für ihren Einsatz, auf der nicht selten sechsstellige Euro-Beträge auftauchen. Bekannt wurde 2013, dass auch die deutsche Bundesregierung 147.000 Euro für die einjährige Nutzung der Überwachungssoftware FinSpy auf zehn Rechnern ausgab. Die Software musste außerdem noch an rechtliche Anforderungen angepasst und weiteren Tests unterzogen werden.

Eine Tabellenkalkulationsblatt gibt Auskunft darüber, inwieweit FinFisher in der Lage ist, die Erkennung durch 35 führende Antivirus-Programme zu vermeiden. Aufgeschlüsselt wird die Nutzung der Spyware nach Ländern in den vergangenen Jahren. Versionshinweise verraten mehr über die laufende Programmpflege. So sollen Patches im April 2014 dafür gesorgt haben, dass Microsoft Security Essentials das Rootkit Gammas nicht aufspürt. Einem weiteren Hinweis zufolge kann die Malware auch Windows-Systeme mit zwei angeschlossenen Bildschirmen überwachen – und das Mitlesen von E-Mails bei Mozilla Thunderbird sowie Apple Mail sei verbessert worden.

Die Dokumente listen angreifbare Anwendungen auf und auch Software, die einer Überwachung entgegenstehen. So soll etwa bei Skype-Gesprächen unter OS X FinFisher erkannt und die aktive Aufnahme angezeigt werden. Das gelte ähnlich bei der Skype-App für das Modern-UI von Windows 8, während der Desktop-Client die Spyware nicht bemerke. Noch nicht lieferbar, aber bereits mit Preisen avisiert ist Spionagesoftware für Apples Mobilbetriebssystem iOS 7.

Auf die Rechner der Opfer kann die Spyware auf den bei Malware schon länger üblichen Wegen kommen. Zur Verfügung stehen beispielsweise ein vorgetäuschter Updater für den Adobe Flash Player oder ein Firefox-Plug-in für RealPlayer. Exploits scheint Gamma auch von der umstrittenen französischen Sicherheitsfirma Vupen zu beziehen, die für den Verkauf von Zero-Day-Lücken bekannt ist.

[mit Material von Violet Blue, ZDNet.com]