Neue Mac-Malware deutet auf Rückkehr von Hacking Team hin

Sicherheitsforscher haben eine neue Mac-OS-Malware entdeckt, die nach ihrer Einschätzung von Hacking Team stammt. Ars Technica ist darauf aufmerksam geworden. Sie wurde demnach am 4. Februar in Googles Scandienst VirusTotal hochgeladen. Zu diesem Zeitpunkt erkannte sie keines der bekannten Antivirenprogramme.

Der umstrittene italienische Hacker-Dienstleister war vergangenes Jahr selbst Opfer einer Attacke geworden. Unbekannte veröffentlichten damals rund 400 GByte entwendete Daten im Internet, darunter E-Mails, geschäftliche Dokumente, die Überwachungssoftware des Unternehmens und Beschreibungen mehrerer Zero-Day-Lücken. Dies brachte die Aktivitäten von Hacking Team erst einmal zum Erliegen.

Die jetzige Analyse stammt von Pedro Vilaça von SentinelOne. Demnach stammt der verwendet Kryptoschlüssel von Mitte Oktober, also von deutlich nach dem Angriff auf Hacking Team. Das Schadprogramm installiert aber dessen bewährte Plattform Remote Control Systems. Eine im Sommer 2015 angekündigte neue Software ist nicht zu entdecken, weshalb sich Vilaça enttäuscht gibt: „Das sind immer noch die gleichen unfähigen Trottel, wie es die E-Mail-Leaks gezeigt haben. Meine hauptsächlichen Fragen sind beantwortet, und es gibt für mich hier nichts Interessantes mehr.“

Theoretisch sei es natürlich auch möglich, dass Dritte die 2015 gestohlene Hacking-Team-Software ein wenig modifiziert haben, ergänzt Vilaça. Fast sicher handle es sich aber um ein echtes Schadprogramm. Der genutzte Kommandoserver war nachweislich zumindest im Januar noch aktiv.

Etwas anders sieht dies der ebenfalls von Ars Technica zitierte Patrick Wardle von Synack. Es handle sich um eine neuere Version der alten Software, schreibt er. Unter anderem gebe es darin neue Verfahren, um einer Erkennung zu entgehen. So werde Mac OS‘ eigene Verschlüsselung verwendet, um die Installationsdatei zu tarnen – für Wardle ein Novum.

Unbekannt ist noch, wie die Schadsoftware auf Zielrechner kommt – etwa durch Phishing oder durch einen Exploit, der sie nachlädt. Es gibt ein einfaches Prüfverfahren: Anwender, die im Verzeichnis ~/Library/Preferences/8pHbqThW/ die Datei Bs-V7qIU.cYL entdecken, sind infiziert.

Zu dem Angriff auf Hacking Team 2015 bekannte sich ein Hacker namens Phineas Fisher, der 2014 auch in die Systeme der Gamma Group, des Herstellers der umstrittenen Software FinFisher, eingebrochen war. Er ließ offen, wie es ihm gelang, die Systeme der italienischen Firma zu kompromittieren. Angeblich nutzten Hacking-Team-Mitarbeiter aber selbst für kritische Systeme schwache Passwörter wie „P4ssword“.

Das Unternehmen, das seine Produkte vor allem an Regierungen verkauft, soll auch geschäftliche Beziehungen zu Ländern unterhalten, die nicht für einen starken Schutz von Menschen- und Bürgerrechten bekannt sind. 2012 hatte die Organisation Reporter ohne Grenzen Hacking Team zu einem „Feind des Internets“ erklärt. Sie begründete die Entscheidung mit dem Verkauf von Hacker-Tools an repressive Staaten.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.