Die Welt der Cyber-Waffen ist kompliziert und die größte Herausforderung ist es für Forscher, überhaupt herauszufinden, wer hinter einem Angriff steckt. Das ist nicht weiter verwunderlich, denn schließlich setzen Hacker alles daran, ihre Identität und die ihrer Auftraggeber geheim zu halten – vor allem dann, wenn sie im Auftrag einer Regierung handeln.Doch hin und wieder kommt es vor, dass ein Hacker einen Fehler begeht. Und manchmal ist dieser Fehler geradezu dilettantisch. Das war beispielsweise bei einer Spionage-Malware für Android der Fall, die letztes Jahr in Asien auftauchte. Die Schadsoftware enthielt nämlich einen Link zur Unternehmenswebsite ihres Herstellers – und zwar im Malware-Code selbst. Das ist in etwa so, als ob ein Einbrecher seine Visitenkarte am Ort des Verbrechens hinterlässt
Anzeige
So enttarnte sich die Firma selbst
Anzeige
Das Geschäft mit den Überwachungstools wird im Jahre 2019 laut der Prognose des Beratungsunternehmens Markets and Markets 1,3 Milliarden US-Dollar abwerfen – eine beachtliche Steigerung im Vergleich zum Wert von 251 Millionen US-Dollar im Jahre 2014. Experten bezeichnen den aktuellen Trend dann auch als Spyware-Goldrausch: Zahlreiche Firmen versuchen um jeden Preis auf den Markt zu drängen und bieten Regierungen auf der ganzen Welt Überwachungs-Tools an. Selbst dann, wenn sie eigentlich gar nicht die technischen Voraussetzungen erfüllen, um zuverlässige und geheim arbeitende Programme zu erstellen.„Der Spyware-Goldrausch nimmt inzwischen komödiantische Züge an", sagt dann auch Morgan Marquis-Boire. Der Forscher und Sicherheitsdirektor entdeckte mit seiner Firma First Look Media, dass GR Sistemi hinter der entdeckten Malware steckte.Marquis-Boire war auch einer der ersten Forscher, der vor fünf Jahren Schadsoftware des berüchtigten italienischen Entwicklers Hacking Team aufspürte. Als er letztes Jahr die Spionage-Software untersuchte, bemerkte er schnell, dass eine der Dateien einen Link zu einer Seite enthielt, die zu der offiziellen GR Sistemi-Website weiterleitete.
Eine der untersuchten Malware-Samples wurde laut Marius Tivadar in Asien entdeckt. Der BitDefender-Forscher sagte jedoch, dass es unmöglich sei, festzustellen, ob diese Daten zu Testzwecken von einem Forscher hochgeladen wurden oder von einem echten Opfer stammen. „Das ist kein Beweis dafür, dass es in China und Singapur [mit der Software] infizierte Klienten gibt", erklärte Tivadar gegenüber Motherboard.
Anzeige
Wer ist GR Sistemi?
Anzeige
GR Sistemis Hauptgeschäft besteht traditionell aus dem Verkauf von GPS-Trackern und klassischen Abhörmöglichkeiten an Strafverfolgungsbehörden. Außerdem bietet das Unternehmen eine App zur Koordination einer LKW-Flotte an. Wie Quellen Motherboard berichteten, soll die Firma mit der Staatsanwaltschaft in der Lombardei zusammengearbeitet haben.„Sie haben keinen blassen Schimmer von Spyware", erklärte die Quelle allerdings weiter. „Sie haben erkannt, wie lukrativ das Geschäft mit der 'lawful interception' ist und begannen daher, Lösungskonzepte anzubieten, die in Wirklichkeit aus zusammengewürfelten Teilen bestanden."So scheint GR Sistemis „Dark Eagle"-Spionagesoftware, die von BitDefender entdeckt wurde, zumindest in Teilen eine recycelte Version eines Open-Source-Tools AndroRAT, mit dem sich von außen Zugriff auf Geräte erlangen lässt. Zu diesem Schluss kamen sowohl Marquis-Boire als auch der Sicherheitsforscher Tim Strazzere. Strazzere fügte hinzu, dass AndroRAT sehr häufig von anderen Hackern genutzt wird, wie er auch schon in einem Paper für einen Sicherheitsdienst analysierte.Offensichtlich ist es kein Einzelfall, dass Firmen Spionagesoftware an Regierungen verkaufen, die lediglich umfunktioniert oder recycelt ist. In einer geleakten E-Mail beschuldigte Hacking Team ihren Konkurrenten FinFisher, einen Code zu verwenden, der dem Code von FlexiSpy zum Verwechseln ähnlich sei. FlexiSpy ist ein Spionage-Service, der hauptsächlich auf eifersüchtige Ehegatten und paranoide Eltern ausgelegt ist. Außerdem zeigte eine Recherche von Forbes, dass Wolf Intelligence einige Tools von anderen Anbietern verwendete, mit denen sie zusammenarbeiteten.Solch unprofessionelles Verhalten und Software-Fehler machen es Sicherheitsforschern besonders leicht, Malware aufzuspüren. Die Fälle zeigen aber auch, dass einige dieser Möchtegern-Spionagefirmen vielleicht noch nicht bereit sind, um mit den Großen der Branche mitzuhalten.„Das Produkt hält nicht das, was der Sales Pitch verspricht", fasst es Sicherheitsforscher Marquis-Boire zusammen. „Vielleicht sind sie ja ganz gut darin, Software zu schreiben, aber in Sachen Spionage und technischem Selbstschutz glänzen sie ganz bestimmt nicht."