Hackers onthullen Duitse politie-spyware
Hackers van de Chaos Computer Club (CCC) beweren dat ze spyware van de Duitse politie hebben ontdekt. Via het programma zouden de autoriteiten Skype-gesprekken kunnen afluisteren en wachtwoorden van onder andere Firefox, MSN Messenger en ICQ kunnen stelen. Verder is het Trojaanse paard in staat om screenshots van het scherm te maken en zichzelf met een nieuwe versie te updaten.
"We weten niet wie deze backdoor heeft gemaakt en waar die voor gebruikt is", zegt Mikko Hypponen van het Finse anti-virusbedrijf F-Secure. "We hebben geen reden om aan de bevindingen van CCC te twijfelen, maar we kunnen niet bevestigen dat dit Trojaanse paard door de Duitse overheid is gemaakt."
Bundestrojaner
De hackers van CCC analyseerden de 'Bundestrojaner' en kwamen vervolgens met dit 20 pagina's tellende rapport. Ook werd een binary van de malware zelf online gezet. Speculaties over een door de Duitse overheid gemaakt Trojaans paard dateren al van 2007. Een jaar later zou de Polizei officieel groen licht hebben gekregen. In 2009 werd de broncode van een Trojaans paard gepubliceerd waarmee het mogelijk was om Skype-gesprekken af te luisteren. Deze malware zou ook voor de Duitse overheid zijn ontwikkeld.
Hypponen laat weten dat de Finse virusbestrijder nog nooit een malware-exemplaar heeft geanalyseerd die door een overheidsinstantie zou zijn ontwikkeld. Ook zou het bedrijf nog nooit zijn gevraagd door een overheid om politie-spyware niet te detecteren.
Analyse
Wat betreft de nu ontdekte malware stelt de CCC dat de geheime infiltratie van computersystemen door de Staat moet stoppen. Verder worden andere hackers opgeroepen om te helpen met de analyse van het online gezette bestand. Daarin zijn namelijk verschillende beveiligingsproblemen ontdekt, waardoor ook andere internetgebruikers toegang tot met deze malware besmette machines kunnen krijgen.
"De malware kan niet alleen vertrouwelijke gegevens stelen, maar biedt ook een remote control of backdoor-functionaliteit voor het uploaden en uitvoeren van willekeurige andere programma's. Door behoorlijke ontwerp- en implementatiefouten is deze functionaliteit voor iedereen op het internet toegankelijk."
Het CCC stuk in het Engels http://ccc.de/en/updates/2011/staatstrojaner
Ed Bot hgeeft een aardige samenvatting http://www.zdnet.com/blog/bott/german-government-accused-of-spying-on-citizens-with-state-sponsored-trojan/4044
Legendarische Andreas Pfitzmann geeft hier een gedetailleerde beschrijving van de BundesTrojaner http://www.heise.de/ct/artikel/Windei-Bundestrojaner-291808.html
En wie er niet genoeg van kan krijgen: de discussie op http://yro.slashdot.org/story/11/10/08/2029221/german-governments-malware-analyzed
2011-09-30 00:49 5,376 winsys32.sys
File Version: 4.2.1.0
Description: MFCDLL Shared Library - Retail Version
Copyright: Copyright © 1998
Company: Microsoft Corporation
Internal Name: mfc42ul.dll
Language: German
Original File Name: mfc42ul.dll
Product Name: MFC 42
Product Version: 4.2.1.0
Alle overige velden (o.a. Legal Trademarks) zijn leeg.
Ik heb beide bestanden in Bundestrojaner_not_encrypted.zip samengevoegd en geüpload naar Virustotal, met 11/ 43 (25.6%) als resultaat (zie http://www.virustotal.com/file-scan/report.html?id=3c64b64476e3b523549a302ba7b9a8dd155906341a5a3f64a87704e5f5a5dae1-1318160538). D.w.z. herkenning momenteel door de volgende scanners: AntiVir, Avast, BitDefender, ClamAV, F-Secure, GData, Kaspersky, McAfee en McAfee-GW-Edition (beide cloud-based - via Artemis), Sophos en Symantec.
Aanvuling: omdat alleen het bestand mfc42ul.dll lijkt te zijn geanalyseerd, heb ik separaat winsys32.sys geüpload. Die was gisteravond al door iemand anders geanalyseerd (zie http://www.virustotal.com/file-scan/report.html?id=3407bf876e208f2dce3b43ccf5361c5e009ed3daf87571ba5107d10a05dc7bc4-1318161098), toen met 10/43 als resultaat, nu zijn dat er 11/43 (BitDefender detecteert deze u ook, zie http://www.virustotal.com/file-scan/report.html?id=3c64b64476e3b523549a302ba7b9a8dd155906341a5a3f64a87704e5f5a5dae1-1318160538).
Aanvulling #2: in http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf staat onder meer
Alle untersuchten Varianten des Trojaners wurden zum Zeitpunkt der Bericht-erstellung von keinem Antivirus-Programm als Schadsoftware erkannt.
[...]
SZ
Zij leveren trojans aan overheden. Ik heb laatst een demo van hun mogen meemaken en moet zeggen dat hun software erg professioneel is. Ze hebben een aantal robuste aanvalstechnieken en kopen hun 0-days bij betrouwbare partijen. Na het deployen van de dropper kan die, naargelang de bevoegdheid van de dienst, de gewenste functionaliteit zelf ophalen. De trojan heeft zelfs een kill switch om, wanneer de bevoegheid van de dienst afgelopen is, de trojan te verwijderen en zo het onderzoek te stoppen.
Eng? Ja! Maar wel te verwachten in de "cyber war arms race". Net zoals de oorlogen tegenwoordig uitgevochten worden met behulp van bedrijven die diensten aan de overheid leveren is dit net hetzelfde maar dan op computer gebied.
Het echt enge is dat de wet het allemaal toe staat. Er gebeurd helemaal niets illegaals.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.