Mac-Trojaner löst Spekulationen über Hacking-Team-Rückkehr aus
Auf Virus Total ist ein Trojaner für OS X aufgetaucht, der allem Anschein nach zu einem Spionage-Tool der Firma Hacking Team gehört. Sind die Italiener zurück und hacken wieder?
(Bild: Patrick Wardle)
- Fabian A. Scherschel
Ist die italienische Spionage-Software-Schmiede Hacking Team zurück? Ein Schadcode-Sample für OS X, das Sicherheitsforscher Patrick Wardle analysiert hat, deutet darauf hin. Laut Wardle verankert der Schadcode-Dropper eine Hintertür im System, die verdächtig nach dem Remote Control System (RCS) der Italiener aussieht.
Ist Hacking Team zurück?
Zum ersten Mal auf dem Radar der Sicherheitsforscher ist der Trojaner aufgetaucht, als ihn jemand Anfang Februar beim Google-Dienst Virus Total hochlud. Zu diesem Zeitpunkt wurde er von keiner dort getesteten Antiviren-Software erkannt. Mittlerweile haben die AV-Firmen nachgerüstet: Die meisten namhaften Scanner erkennen den Trojaner nun unter dem Namen Morcut – demnach existiert verwandter Schadcode mindestens seit Juli 2012.
Schon damals hatten Kaspersky-Forscher vermutet, dass es sich bei Morcut um einen Trojaner handeln könnte, der geschrieben wurde um ihn "an Strafverfolgungsbehörden" zu verkaufen. Nachforschungen zu dem Command-and-Control-Server des Trojaners deuten darauf hin, dass dieser mindestens seit dem 15. Oktober 2015 aktiv war.
"Immer noch die selben beknackten Idioten"
Sicherheitsforscher Pedro Vilaça (@osxreverser), der den Trojaner ebenfalls untersucht hat, ist sich sicher, dass die Software von Hacking Team geschrieben wurde. Der Code sei in weiten Teilen identisch mit bekannter Malware aus dem Datenklau bei Hacking Team. "Hacking Team ist noch am Leben, aber sie sind immer noch die selben beknackten Idioten, die wir in den E-Mail-Leaks gesehen haben", so Vilaça.
Es könne natürlich sein, dass jemand den Hacking-Team-Code geforkt habe und nun inklusive konformer Versionsnummern weiterentwickele. Das Quellcode-Leak der Hacking-Team-Software würde dies ermöglichen. Vilaças Meinung nach ist das aber unwahrscheinlich – "warum zur Hölle würde das jemand tun?"
Erkennen kann man die Hintertür im System an der Datei _9g4cBUb.psr im Verzeichnis ~/Library/Preferences/8pHbqThW/ und an einem entsprechenden sich selbst startenden Hintergrundprozess: ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist. Ist der eigene Rechner mit professioneller Spionagesoftware verseucht, reicht es allerdings wohl nicht, diese Dateien zu löschen. Eventuell sollte man in diesem Fall darüber nachdenken, sich neue Hardware anzuschaffen.
(fab)
