Staatstrojaner in den Händen der Gülen-Sekte?

Wired, Arsenal und Kaspersky fanden Anhaltspunkte dafür, dass die islamistische Gruppe versuchte, über türkische Behörden eine amerikanische Kritikerin auszuspähen

Die italienische Firma Hacking Team stellt den Staatstrojaner Remote Control System (RCS) her, den sie nach eigenen Angaben ausschließlich an Regierungsstellen und Behörden verkauft. Das Magazin Wired, die Computerforensikfirma Arsenal und der Antivirensoftwarehersteller Kaspersky fanden jedoch Anhaltspunkte dafür, dass versucht wurde, das Spionagesystem einzusetzen, um eine amerikanische Kritikerin der islamistischen Gülen-Bewegung auszuspähen. Diese vom türkischen Prediger Fethullah Gülen ins Leben gerufene Sekte steht im Verdacht, eine Art verdeckte Machtübernahme über einen heimlichen Marsch durch die Institutionen zu verfolgen und ihre Anhänger gezielt bei der Polizei, der Justiz und anderen Behörden zu installieren.

Die Amerikanerin, die vor allem über die Privatschulen der Sekte schreibt, schöpfte einen ersten Verdacht, als sie eine Email bekam, die angeblich einen Link auf eine neue Website zur Gülen-Bewegung enthielt. Allerdings fiel ihr rechtzeitig auf, dass der Absender nicht ein ihr bekannter (und ebenfalls Gülen-kritischer) Professor an der Harvard University war, sondern eine Person, die dessen Email-Adresse mit der Domainendung "hardward.edu" zu fälschen versuchte.

Darauf hin wandte sie sich an die Bostoner Computerforensikfirma Arsenal, die über Aufrufe in einer sicheren Analyseumgebung feststellte, dass der Link in der Mail auf eine in der Türkei gehostete Website führte, die Mängel in Adobe Flash ausnutzte, um mit einer Datei namens Anim.swf einen mehrstufigen Angriff zu starten, der mit der Ermittlung von Informationen über das Betriebssystem und den benutzten Browser des Zielrechners begann.

Im Zuge des Angriffs sollten offenbar mehrere weitere Komponenten heruntergeladen werden: darunter ein eigener Downloader und ein Programm, das Screenshots anfertigen und an einen Server in der Türkei senden konnte. Für die Bestimmung eines weiteren Tools, das vor einer eingehenden Analyse durch Arsenal entfernt wurde, wandte sich das Unternehmen an Nicolas Brulez vom Antivirensoftwarehersteller Kaspersky.

Der fand heraus, dass das GlobalSign-Zertifikat des Downloaders identisch mit einem Downloader ist, den das RCS-Spykit verwendete, das Kaspersky bei mehr als 50 Computerinfektionen in Italien, Mexiko, Kasachstan, Saudi-Arabien, Argentinien, Algerien, Mali, Iran, Indien, Äthiopien - und der Türkei entdeckt hatte. Dieses auch als "DaVinci" bekannte Spykit kann unter anderem Unterhaltungen mit Skype, dem Yahoo Messenger und Google Talk mitschneiden, die Browser History auslesen und das Mikrofon und die Kamera des Computers unbemerkt anschalten.

Einen Testcode, den der von Arsenal sichergestellte Downloader enthielt, hatte Brulez ebenfalls schon einmal beim italienischen Staatstrojaner gesehen. Nachdem sich herausstellte, dass auch der Verschlüsselungsalgorithmus für die Kommunikation mit dem Server dem von RCS entsprach, war sich der Virenexperte sicher, dass der italienische Staatstrojaner und die beim Hardward-Angriff verwendeten Komponenten mindestens einen Programmierer gemeinsam haben.

Die angegriffene Amerikanerin ist nach dem Vorfall davon überzeugt, dass die Gülen-Sekte über türkische Behörden Zugriff auf einen Staatstrojaner hat. Durch die Installation der Software wollten Anhänger der Bewegung ihrer Ansicht nach versuchen, Details über ihr Privatleben herauszufinden, um sie damit zu diskreditieren. Ein insofern sehr ernster Vorwurf, als die Türkei ein NATO-Partner der USA ist, der seinem eigenen Sicherheitsapparat möglicherweise nur mehr bedingt vertrauen kann.

Bei Hacking Team lässt man Fragen dazu, ob die Firma Lizenzen für ihr Spykit an türkische Behörden verkauft hat, unbeantwortet. Auskünfte beschränken sich darauf, dass es in "mehreren Dutzend Ländern" im Einsatz sei und aufgrund der aufwendigen Infrastruktur und der ständigen Updates schwer kopiert werden könne. Werde man auf möglichen Missbrauch aufmerksam gemacht, dann prüfe man, ob man diese Updates einstellt, was langfristig dazu führe, dass die Software von Antivirenprogrammen entdeckt und für den professionellen Einsatz nutzlos wird.