Hackers onthullen Duitse politie-spyware
Hackers van de Chaos Computer Club (CCC) beweren dat ze spyware van de Duitse politie hebben ontdekt. Via het programma zouden de autoriteiten Skype-gesprekken kunnen afluisteren en wachtwoorden van onder andere Firefox, MSN Messenger en ICQ kunnen stelen. Verder is het Trojaanse paard in staat om screenshots van het scherm te maken en zichzelf met een nieuwe versie te updaten.
"We weten niet wie deze backdoor heeft gemaakt en waar die voor gebruikt is", zegt Mikko Hypponen van het Finse anti-virusbedrijf F-Secure. "We hebben geen reden om aan de bevindingen van CCC te twijfelen, maar we kunnen niet bevestigen dat dit Trojaanse paard door de Duitse overheid is gemaakt."
Bundestrojaner
De hackers van CCC analyseerden de 'Bundestrojaner' en kwamen vervolgens met dit 20 pagina's tellende rapport. Ook werd een binary van de malware zelf online gezet. Speculaties over een door de Duitse overheid gemaakt Trojaans paard dateren al van 2007. Een jaar later zou de Polizei officieel groen licht hebben gekregen. In 2009 werd de broncode van een Trojaans paard gepubliceerd waarmee het mogelijk was om Skype-gesprekken af te luisteren. Deze malware zou ook voor de Duitse overheid zijn ontwikkeld.
Hypponen laat weten dat de Finse virusbestrijder nog nooit een malware-exemplaar heeft geanalyseerd die door een overheidsinstantie zou zijn ontwikkeld. Ook zou het bedrijf nog nooit zijn gevraagd door een overheid om politie-spyware niet te detecteren.
Analyse
Wat betreft de nu ontdekte malware stelt de CCC dat de geheime infiltratie van computersystemen door de Staat moet stoppen. Verder worden andere hackers opgeroepen om te helpen met de analyse van het online gezette bestand. Daarin zijn namelijk verschillende beveiligingsproblemen ontdekt, waardoor ook andere internetgebruikers toegang tot met deze malware besmette machines kunnen krijgen.
"De malware kan niet alleen vertrouwelijke gegevens stelen, maar biedt ook een remote control of backdoor-functionaliteit voor het uploaden en uitvoeren van willekeurige andere programma's. Door behoorlijke ontwerp- en implementatiefouten is deze functionaliteit voor iedereen op het internet toegankelijk."
Het CCC stuk in het Engels http://ccc.de/en/updates/2011/staatstrojaner
Ed Bot hgeeft een aardige samenvatting http://www.zdnet.com/blog/bott/german-government-accused-of-spying-on-citizens-with-state-sponsored-trojan/4044
Legendarische Andreas Pfitzmann geeft hier een gedetailleerde beschrijving van de BundesTrojaner http://www.heise.de/ct/artikel/Windei-Bundestrojaner-291808.html
En wie er niet genoeg van kan krijgen: de discussie op http://yro.slashdot.org/story/11/10/08/2029221/german-governments-malware-analyzed
2011-09-30 00:49 5,376 winsys32.sys
File Version: 4.2.1.0
Description: MFCDLL Shared Library - Retail Version
Copyright: Copyright © 1998
Company: Microsoft Corporation
Internal Name: mfc42ul.dll
Language: German
Original File Name: mfc42ul.dll
Product Name: MFC 42
Product Version: 4.2.1.0
Alle overige velden (o.a. Legal Trademarks) zijn leeg.
Ik heb beide bestanden in Bundestrojaner_not_encrypted.zip samengevoegd en geüpload naar Virustotal, met 11/ 43 (25.6%) als resultaat (zie http://www.virustotal.com/file-scan/report.html?id=3c64b64476e3b523549a302ba7b9a8dd155906341a5a3f64a87704e5f5a5dae1-1318160538). D.w.z. herkenning momenteel door de volgende scanners: AntiVir, Avast, BitDefender, ClamAV, F-Secure, GData, Kaspersky, McAfee en McAfee-GW-Edition (beide cloud-based - via Artemis), Sophos en Symantec.
Aanvuling: omdat alleen het bestand mfc42ul.dll lijkt te zijn geanalyseerd, heb ik separaat winsys32.sys geüpload. Die was gisteravond al door iemand anders geanalyseerd (zie http://www.virustotal.com/file-scan/report.html?id=3407bf876e208f2dce3b43ccf5361c5e009ed3daf87571ba5107d10a05dc7bc4-1318161098), toen met 10/43 als resultaat, nu zijn dat er 11/43 (BitDefender detecteert deze u ook, zie http://www.virustotal.com/file-scan/report.html?id=3c64b64476e3b523549a302ba7b9a8dd155906341a5a3f64a87704e5f5a5dae1-1318160538).
Aanvulling #2: in http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf staat onder meer
Alle untersuchten Varianten des Trojaners wurden zum Zeitpunkt der Bericht-erstellung von keinem Antivirus-Programm als Schadsoftware erkannt.
[...]
SZ
Zij leveren trojans aan overheden. Ik heb laatst een demo van hun mogen meemaken en moet zeggen dat hun software erg professioneel is. Ze hebben een aantal robuste aanvalstechnieken en kopen hun 0-days bij betrouwbare partijen. Na het deployen van de dropper kan die, naargelang de bevoegdheid van de dienst, de gewenste functionaliteit zelf ophalen. De trojan heeft zelfs een kill switch om, wanneer de bevoegheid van de dienst afgelopen is, de trojan te verwijderen en zo het onderzoek te stoppen.
Eng? Ja! Maar wel te verwachten in de "cyber war arms race". Net zoals de oorlogen tegenwoordig uitgevochten worden met behulp van bedrijven die diensten aan de overheid leveren is dit net hetzelfde maar dan op computer gebied.
Het echt enge is dat de wet het allemaal toe staat. Er gebeurd helemaal niets illegaals.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
