Hacker hacken Hacking-Firma Cellebrite

Die in Israel ansässige Firma Cellebrite, Tochterfirma der japanischen Sun Corporation und Anbieter unter anderem auch von staatlichen Einrichtungen genutzter Überwachungs-Tools für Mobiltelefone, wurde Opfer eines Hackerangriffs. Das hat das Unternehmen nun bestätigt. Es wurde zuvor von der Website Motherboard auf den Vorfall hingewiesen. Dem liegen offenbar 900 GByte an Daten vor, die dem oder den Angreifern in die Hände gefallen sind.

Cellebrite erlitt damit dasselbe Schicksal wie zuvor schon die im selben Marktsegment tätigen Firmen The Hacking Team aus Italien 2015 und das deutsch-britische Unternehmen Gamma International 2014. Auch sie liefern wie Cellebrite für gezielte Ausspähung verwendbare Software und Technologie auch an Staaten, in denen die aller Voraussicht nach nicht nach rechtsstaatlichen Grundsätzen verwendet wird, etwa die Vereinigten Arabischen Emiraten (VAE). Laut Motherboard zählen auch Russland und die Türkei zu den Cellebrite-Kunden.

Aber auch Behörden in den USA, den Niederlanden und Deutschland gehören zum Kundenstamm. Berichten zufolge könnte das FBI etwa das das iPhone des San-Bernardino-Attentäters damit geknackt haben. Und das Netherlands Forensics Institute (NFI), die Forensikabteilung der niederländischen Polizei, soll sich damit im Zuge von Ermittlungen gegen einen Drogenhändler Zugriff auf ein Blackberry-Gerät verschafft haben.

Hierzulande nutzen das Bundeskriminalamt und Ermittler des Zolls das von Cellebrite entwickelte „Universal Forensics Extraction Device“ (UFED). Dafür muss die Behörde allerdings physisch Zugriff auf das zu knackende Smartphone haben. Außerdem beliefert Cellebrite Mobilfunkhändler mit Analysesoftware, die es ihnen ermöglicht, Fehler aufzuspüren und zu beheben. Einer der Referenzkunden dafür ist etwa The Phone House in den Niederlanden und in Belgien.

Motherboard hat die ihm zugespielten Daten überprüft und hält sie für echt. Beispielsweise sind die in der Kundendatenbank enthaltenen E-Mail-Adressen wie ein Versuch zeigte tatsächlich bereits mit Kundenkonten in dem Cellebrite-Kundenportal verknüpft. Außerdem habe ein Kunde gegenüber der Website Details aus den ihr zugspielten Daten bestätigt.
Zu den Cellebrite gestohlenen Daten gehören auch offenbar von beschlagnahmten Telefonen extrahierte Daten sowie Log-Files von Cellebrite-Geräten. Zeitstempel legen nahe, dass einige dieser Daten im vergangenen Jahr von den Cellebrite-Servern kopiert wurden.

In seiner Stellungnahme erklärt Cellebrite jedoch lediglich, man habe „kürzlich einen unbefugten Zugriff auf einen externen Web-Server“ festgestellt. Der habe das Backup einer älteren Datenbank von my.Cellebrite, dem Lizenzmanagementsystem des Anbieters, enthalten. Es bestätigte bislang lediglich, dass „grundlegende Kontaktinformationen“ sowie gehashte Passwörter entwendet wurden, räumte aber ein, dass das gesamte Ausmaß des Angriffs derzeit noch untersucht werde.

Im Gegensatz zu den Angriffen auf Gamma International und The Hacking Team, bei denen ein Hacker, der sich PhineasFisher nennt, die Daten jeweils öffentlich verfügbar gemacht hat, sind die Cellebrite entwendeten Daten nicht öffentlich einsehbar. Die Veröffentlichung der bei The Hacking team entwendeten Daten führte im Nachgang dazu, dass Kriminelle von den Italienern entwickelte Exploits nutzten, um damit etwa Smartphones mit Android 4.0.3 bis 4.4.4 anzugriefen. Microsoft hatte kurz nach Veröffentlichung der Daten einen Notfall-Patch veröffentlicht, um eine von The Hacking Team entdeckte, aber zunächst geheim gehaltene Sicherheitslücke zu schließen.