Jena, 21. September 2017 – Forscher des europäischen Security-Software-Herstellers ESET haben eine Überwachungskampagne entdeckt, welche eine neue Variante der berüchtigten Spyware FinFisher nutzt. Die auch als FinSpy bekannte Malware wird als Tool zur Strafverfolgung vermarktet und weltweit an staatliche Stellen verkauft. Vermutlich wird die Spyware auch von repressiven Regimen genutzt. Insgesamt sieben Länder sind von FinFisher betroffen. In zwei davon gibt es Hinweise darauf, dass große Internetanbieter in die Verbreitung des Überwachungsprogramms involviert waren.
Spyware-Tool zur Strafverfolgung
„Bei zwei der Kampagnen wurde die Malware mittels einer Man-in-the-Middle-Attacke verbreitet und wir gehen davon aus, dass die Internetprovider die Rolle des ‚Mittelsmanns‘ übernommen haben“, erklärt ESET Malware Analyst Filip Kafka. FinFisher verfügt über umfangreiche Spionagefähigkeiten, darunter die Überwachung durch Webcams und Mikrofone, Keylogging und das Herausschleusen von Daten. Mit der letzten Version erhielt die Malware eine Reihe an Verbesserungen, besonders im Bereich der Spionagefähigkeiten und beim Schutz vor Entdeckung.
Verbreitung über Services von Internetprovidern
Eine beunruhigende Neuerung gab es auch in der Art der Verbreitung. Sobald ein anvisierter Nutzer eine von verschiedenen beliebten Apps wie WhatsApp, Skype oder den VLC Player herunterlädt, wird er unbemerkt auf den Server der Angreifer umgeleitet. Dort erhält der Nutzer ein mit FinFisher infiziertes Installationspaket.
„Im Zuge unserer Ermittlungen sind wir auf verschiedene Hinweise gestoßen, dass die Umleitung innerhalb der Serviceebene eines großen Internetanbieters stattfindet“, so Filip Kafka. Demnach handelt es sich bei diesen Spionage-Kampagnen um die ersten Fälle, bei denen die Beteiligung großer Internetanbieter bei der Verbreitung nicht ausgeschlossen werden kann und öffentlich bekannt wird. „Diese FinFisher Kampagnen sind anspruchsvolle Überwachungsprojekte, die mit ihrer Kombination an Methoden und Reichweite ihresgleichen suchen.“
Mehr Informationen zu FinFisher gibt es im ESET Blog WeLiveSecurity unter https://www.welivesecurity.com/deutsch/2017/09/21/neue-finfisher-ueberwachungskampagnen/.
Im englischsprachigen Blog des Unternehmens sind zudem verschiedene Artikel zu FinFisher-Kampagnen erschienen.
Hinweise für Journalisten:
Mit FinFisher rückt Malware von Regierungsbehörden und der Umgang von Security-Unternehmen damit wieder ins Rampenlicht. Für ESET gibt es so etwas wie „gute Malware“ nicht. Das vollständige Statement von ESET findet sich unter https://www.welivesecurity.com/2013/11/11/eset-response-to-bits-of-freedom-open-letter-on-detection-of-government-malware/.
ESET verzichtet bewusst darauf, die Länder zu nennen, in denen Internetanbieter möglicherweise in die Verbreitung des Überwachungsprogramms involviert waren, um Betroffene nicht in Gefahr zu bringen.