Hallo Steffi! Deutsche Spyware-Entwickler versuchen sich an Humor

Security-Spezialisten entdeckten in mehreren Ländern Server, die auf Verbindungsanfragen mit einem Spruch antworteten, der zuvor bei der Analyse von Spionage-Software aufgefallen war.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 2 Min.
Von

Die Spyware-Entwickler von Gamma International lassen die von ihnen benutzten Server fĂĽr die Command & Controlprogramme (C&C) ihres Spionage-Trojaners FinFisher FinSpy mit einem Insider-Witz antworten. Das jedenfalls behauptet der Sicherheitsspezialist Claudio Guarnieri von Rapid 7 in seiner Finfisher-Analyse.

Bei einer Analyse des Trojaners war aufgefallen, dass die angesprochenen Server zunächst mit "Hallo Steffi!" antworteten – was wohl eine Art Insider-Gag sein soll. Da sich dies auch bei einfachen Tests mit Telnet reproduzieren ließ, checkten die Spezialisten alle Server in der Datenbank des Projekts Critical-I/O und stießen dabei auf Server in Äthiopien, Australien, Dubai, Estland, Indonesien, Katar, Lettland, der Mongolei, Tschechien und den USA.

Ob es sich dabei tatsächlich um Server für die Steuerung von Finfisher-Installationen handelt oder eventuell nur um Proxies, ist nicht ausgemacht. Zumindest Äthiopien wäre für den Zweck der Trojaner-Kontrolle ein ausgesprochen schlechter Standort. Mittlerweile haben die Server dieses auffällige Verhalten geändert, was Guarnieri auf ein mögliches Update zurückführt .

"Hallo Steffi!" ist ein weiterer Hinweis darauf, dass die Spionage-Software in Deutschland beziehungsweise von deutschsprachigen Entwicklern programmiert wird. Bereits in der TV-Sendung Fakt (PDF-Datei) des mdr äußerte sich ein Angestellter von Gamma: ""Finfisher ist 100 Prozent deutsch, also in Deutschland entwickelt."

Allerdings dementierte Martin Münch, Geschäftsführer der Münchener Gamma International GmbH, gegenüber der Nachrichtenagentur Bloomberg, dass Software der Firma in Bahrain eingesetzt werde. Möglicherweise handele es sich um eine gestohlene Demo-Version. Die FinFisher-Server seien durch Firewalls geschützt und ließen sich durch derartige Server-Checks nicht entlarven, erklärte Münch außerdem in einer E-Mail an Bloomberg. Im Übrigen wird Martin Münch auch als Geschäftsführer der Firma Mu Shun geführt, die ebenfalls Software für Sicherheitsbehörden liefert.

Für Netzwerk-Admins haben Guarnieri und sein Team übrigens auch Signaturen erstellt, mit denen ein Intrusion Detection System wie Snort den Netzwerkverkehr von mit FinFisher infizierten PCs aufspüren kann. Allerdings warnen die Autoren selbst, dass die Byte-Sequenzen recht kurz seien und so möglicherweise zu Fehlalarmen führen. (ju)