Amnesty entdeckt bislang unbekannte FinSpy-Spionagesoftware für Linux und macOS

Beim Monitoring von Cyberangriffen auf ägyptische Menschenrechtsorganisationen ist AI auf Linux- und macOS-Versionen der Spionagesoftware FinSpy gestoßen.

In Pocket speichern vorlesen Druckansicht 218 Kommentare lesen
Amnesty International entdeckt unbekannte FinSpy-Versionen für Linux und macOS

(Bild: Serg001/Shutterstock.com)

Lesezeit: 3 Min.

Die Menschenrechtsorganisation Amnesty International (AI) hat im Zuge einer Untersuchung von Cyber-Angriffen auf ägyptische Menschenrechtsorganisationen durch die Gruppe "NilePhish" bisher unbekannte Versionen der Überwachungssoftware FinSpy des Münchner Unternehmens FinFisher für Linux und macOS entdeckt. Mit der Veröffentlichung der technischen Details zu ihren Untersuchungen will AI die Cybersecurity-Forschung unterstützen, Cybersecurity-Anbietern bei der Entwicklung von Schutzmechanismen helfen sowie Menschenrechtsorganisationen für derartige Angriffe und mögliche Gegenmaßnahmen sensibilisieren.

Bereits im März 2019 warnte das AI Security Lab ägyptische Menschenrechtsorganisationen vor breit angelegten Phishing-Attacken durch die Gruppe NilePhish, wie Amnesty International in ihrem Bericht schreibt. Im Zuge des Monitoring der Aktivitäten von NilePhish stieß AI im September 2019 auf eine Website für Browserupdate-Downloads, die NilePhish zugeordnet werden konnte. Opfer wurden auf die Website gelockt, um ihnen über eine erzwungene FlashPlayer-Installation einen Dropper unterzujubeln, der FinSpy auf den Rechner einschleust.

AI konnte im Verlauf der Untersuchungen weitere Aktivitäten der Gruppe feststellen und entdeckte im Herbst 2019 bisher unbekannte FinSpy-Versionen für Linux und macOS auf einem Server, über den FinSpy-Malware verteilt wurde. Der Server soll jedoch nach Angaben von AI nicht von NilePhish, sondern einer neuen, unbekannten Gruppe von Cyberangreifern betrieben worden sein. AI ist der Ansicht, dass es sich dabei um eine vom ägyptischen Staat unterstützte Gruppe handelt, die seit September 2019 aktiv ist.

Die FinSpy-Version für macOS tauchte auf dem Server unter der Bezeichnung "Jakuba.app" auf, während die Linux-Variante als Shell-Script unter der Bezeichnung "PDF" gefunden wurde. Zusätzlich fanden sich FinSpy-Downloader für Windows unter "wrar571.exe" und ein Installer für Android ("WIFI.apk"). Während FinSpy-Versionen für Windows und Android schon länger belegt sind, war deren Existenz für Linux und macOS lediglich angenommen und nicht bestätigt worden.

Wie Amnesty International weiter ausführt, sei die Codebasis der Linux- und macOS-Version von FinSpy identisch. Beide seien modular aufgebaut. AI beschreibt in dem Bericht den Aufbau und den Infektionsprozess der beiden FinSpy-Varianten.

FinFisher bietet seine Überwachungssoftware FinSpy verschiedenen Regierungen an. Damit ist es möglich, die Rechner von Zielpersonen auszuspionieren und Zugriff auf persönliche Daten zu erlangen.

Dabei greifen Staaten offenbar gezielt auf die Spionagesoftware FinSpy zurück, um unliebige Menschenrechtsgruppen oder Journalisten auszuspähen. Zuletzt warf "Reporter ohne Grenzen" im März 2020 FinFisher vor, FinSpy illegal an die türkische Regierung verkauft zu haben. Demnach soll FinSpy eingesetzt worden sein, um die Opposition auszuforschen.

(olb)