Spionage-Firma enttarnt sich selbst mit selten dummer Aktion

Die Welt der Cyber-Waffen ist kompliziert und die größte Herausforderung ist es für Forscher, überhaupt herauszufinden, wer hinter einem Angriff steckt. Das ist nicht weiter verwunderlich, denn schließlich setzen Hacker alles daran, ihre Identität und die ihrer Auftraggeber geheim zu halten – vor allem dann, wenn sie im Auftrag einer Regierung handeln.

Doch hin und wieder kommt es vor, dass ein Hacker einen Fehler begeht. Und manchmal ist dieser Fehler geradezu dilettantisch. Das war beispielsweise bei einer Spionage-Malware für Android der Fall, die letztes Jahr in Asien auftauchte. Die Schadsoftware enthielt nämlich einen Link zur Unternehmenswebsite ihres Herstellers – und zwar im Malware-Code selbst. Das ist in etwa so, als ob ein Einbrecher seine Visitenkarte am Ort des Verbrechens hinterlässt

Als die Sicherheitsfirma BitDefender die Spionage-Software vergangenes Jahr entdeckte, merkte sie gleich an, dass die Malware scheinbar von „Italienisch sprechenden Entwicklern" stamme und auf bestimmte Android-Geräte ausgerichtet war. Die Opfer seien dabei nach den IMEI-Codes ihrer Geräte, der 15-stelligen Seriennummer, mit der jedes Endgerät eindeutig identifiziert werden kann, ausgewählt worden. Weitere Details zu der Frage, wer hinter der Schadsoftware steckt, machte BitDefender damals nicht.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Nun haben zwei unabhängige Analysen ergeben, dass die Spyware von einer Firma namens GR Sistemi entwickelt wurde – allem Anschein nach eine Firma, die es gar nicht erwarten konnte, ins verheißungsvolle Überwachungsgeschäft einzusteigen, dabei jedoch schlampig arbeitete.

Vor allem das Geschäft mit Regierungs-Spyware ist längst ein äußerst lukrativer Markt – und auf eben diesem Markt versuchte das italienische Unternehmen GR Sistemi Fuß zu fassen. Das Geschäft ist heiß umkämpft: Das italienische Hacking Team und die britisch-deutsche Firma FinFisher sind die wohl bekanntesten Player, doch in den letzten Jahren haben Malware-Jäger und Sicherheitsforscher vermehrt Software von anderen Anbietern nachweisen können. Darunter befinden sich beispielsweise Raxir und RCS Lab aus Italien, Wolf Intelligence mit einer Niederlassung in München und Aglaya aus Indien sowie die israelische NSO Group.

Das Geschäft mit den Überwachungstools wird im Jahre 2019 laut der Prognose des Beratungsunternehmens Markets and Markets 1,3 Milliarden US-Dollar abwerfen – eine beachtliche Steigerung im Vergleich zum Wert von 251 Millionen US-Dollar im Jahre 2014. Experten bezeichnen den aktuellen Trend dann auch als Spyware-Goldrausch: Zahlreiche Firmen versuchen um jeden Preis auf den Markt zu drängen und bieten Regierungen auf der ganzen Welt Überwachungs-Tools an. Selbst dann, wenn sie eigentlich gar nicht die technischen Voraussetzungen erfüllen, um zuverlässige und geheim arbeitende Programme zu erstellen.

„Der Spyware-Goldrausch nimmt inzwischen komödiantische Züge an", sagt dann auch Morgan Marquis-Boire. Der Forscher und Sicherheitsdirektor entdeckte mit seiner Firma First Look Media, dass GR Sistemi hinter der entdeckten Malware steckte.

Marquis-Boire war auch einer der ersten Forscher, der vor fünf Jahren Schadsoftware des berüchtigten italienischen Entwicklers Hacking Team aufspürte. Als er letztes Jahr die Spionage-Software untersuchte, bemerkte er schnell, dass eine der Dateien einen Link zu einer Seite enthielt, die zu der offiziellen GR Sistemi-Website weiterleitete.

Eine der untersuchten Malware-Samples wurde laut Marius Tivadar in Asien entdeckt. Der BitDefender-Forscher sagte jedoch, dass es unmöglich sei, festzustellen, ob diese Daten zu Testzwecken von einem Forscher hochgeladen wurden oder von einem echten Opfer stammen. „Das ist kein Beweis dafür, dass es in China und Singapur [mit der Software] infizierte Klienten gibt", erklärte Tivadar gegenüber Motherboard.

Laut der Website der Firma wurde GR Sistemi im Jahre 2002 gegründet, bietet aber erst seit Kurzem Spionagesoftware an. In einer geleakten E-Mail von 2013 bezeichnete der Technologieleiter von Hacking Team das Unternehmen als „Newcomer". In diesem Zeitraum nahm GR Sistemi an ein paar Veranstaltungen der ISS World teil, einer jährlichen Konferenz, die informell auch als „Wiretappers' Ball" bekannt ist, und auf der sich eigentlich alle großen Firmen des Spy-Tool-Marktes präsentieren.

GR Sistemi schaffte es auf den Events jedoch nicht, viel Aufmerksamkeit auf seine Produkte zu lenken, wie ein Teilnehmer gegenüber Motherboard berichtete: „Sie waren die typischen Außenseiter, die versuchen, in die Branche einzusteigen." Unsere Quelle fügte außerdem hinzu, dass die Mitarbeiter von GR Sistemi auf der Konferenz kaum Englisch sprachen.

Auch eine weitere Quelle, die ebenfalls anonym bleiben möchte, berichtet, dass nicht alles auf der Messe für GR Sistemi nach Plan lief: Laut der Quelle wollte die Firma auf einem der ISS World Events ihr Spionage-Produkt „Dark Eagle" bewerben, doch anders als zuvor angekündigt, handelte es sich dabei nicht um eine Live-Demo sondern lediglich um ein mpeg-Video in Endlosschleife.

Auch die Konkurrenz weiß wenig Schmeichelhaftes zu berichten: So fällt ein leitender Angestellter von Hacking Team in einer geleakten E-Mail ein vernichtendes Urteil über GR Sistemi und andere Wettbewerber. Sie alle hätten 2013 auf einer ISS Konferenz in Prag bewiesen, dass ihre Produkte nicht halten können, was sie versprechen. Tatsächlich seien sie noch sehr weit von ihrem Ziel entfernt.

GR Sistemis Hauptgeschäft besteht traditionell aus dem Verkauf von GPS-Trackern und klassischen Abhörmöglichkeiten an Strafverfolgungsbehörden. Außerdem bietet das Unternehmen eine App zur Koordination einer LKW-Flotte an. Wie Quellen Motherboard berichteten, soll die Firma mit der Staatsanwaltschaft in der Lombardei zusammengearbeitet haben.

„Sie haben keinen blassen Schimmer von Spyware", erklärte die Quelle allerdings weiter. „Sie haben erkannt, wie lukrativ das Geschäft mit der 'lawful interception' ist und begannen daher, Lösungskonzepte anzubieten, die in Wirklichkeit aus zusammengewürfelten Teilen bestanden."

So scheint GR Sistemis „Dark Eagle"-Spionagesoftware, die von BitDefender entdeckt wurde, zumindest in Teilen eine recycelte Version eines Open-Source-Tools AndroRAT, mit dem sich von außen Zugriff auf Geräte erlangen lässt. Zu diesem Schluss kamen sowohl Marquis-Boire als auch der Sicherheitsforscher Tim Strazzere. Strazzere fügte hinzu, dass AndroRAT sehr häufig von anderen Hackern genutzt wird, wie er auch schon in einem Paper für einen Sicherheitsdienst analysierte.

Offensichtlich ist es kein Einzelfall, dass Firmen Spionagesoftware an Regierungen verkaufen, die lediglich umfunktioniert oder recycelt ist. In einer geleakten E-Mail beschuldigte Hacking Team ihren Konkurrenten FinFisher, einen Code zu verwenden, der dem Code von FlexiSpy zum Verwechseln ähnlich sei. FlexiSpy ist ein Spionage-Service, der hauptsächlich auf eifersüchtige Ehegatten und paranoide Eltern ausgelegt ist. Außerdem zeigte eine Recherche von Forbes, dass Wolf Intelligence einige Tools von anderen Anbietern verwendete, mit denen sie zusammenarbeiteten.

Solch unprofessionelles Verhalten und Software-Fehler machen es Sicherheitsforschern besonders leicht, Malware aufzuspüren. Die Fälle zeigen aber auch, dass einige dieser Möchtegern-Spionagefirmen vielleicht noch nicht bereit sind, um mit den Großen der Branche mitzuhalten.

„Das Produkt hält nicht das, was der Sales Pitch verspricht", fasst es Sicherheitsforscher Marquis-Boire zusammen. „Vielleicht sind sie ja ganz gut darin, Software zu schreiben, aber in Sachen Spionage und technischem Selbstschutz glänzen sie ganz bestimmt nicht."