Es ist zuletzt still geworden um FinFisher, und das dürfte der gleichnamigen britisch-deutschen Entwicklungsfirma hinter dem Staatstrojaner auch ganz recht sein.
Vor knapp einem Jahr machte das Unternehmen zuletzt Schlagzeilen: Damals durchsuchte das Zollkriminalamt 15 Wohn- und Geschäftsräume im In- und Ausland, weil die Staatsanwaltschaft in München den Verdacht hatte, FinFisher verkaufe seine Spionagesoftware ohne Exportgenehmigung ins Ausland. Zuletzt war es eher das israelische Konkurrenzprodukt Pegasus der NSO Group, das für Aufsehen sorgte, weil Sicherheitsforscher zum wiederholten Male nachwiesen, dass damit auch Politiker, Oppositionelle, Rechtsanwälte und Journalistinnen überwacht wurden. Doch FinFisher gibt es auch noch – und die Software ist raffinierter denn je, wie Experten der IT-Sicherheitsfirma Kaspersky Labs am Dienstag auf der hauseigenen Konferenz SAS und in einem Blogpost erläuterten.
FinFisher kann auf infizierten Computern und Smartphones gewisse Zugangsdaten und Passwörter aus- sowie Chats mitlesen, Dateien heimlich an die Überwacher schicken und Mikrofon sowie Kamera heimlich aktivieren. Vor allem aber kann sich FinFisher sehr gut verstecken. Gefunden hat Kaspersky die Spyware auf einer burmesischen Website, auf der man verseuchte Installationsdateien für Programme wie TeamViewer, VLC Media Player und WinRAR herunterladen konnte.
Automatische Prüfung, ob das richtige Opfer gefunden wurde
Igor Kuznetsov von Kaspersky zufolge steckt in FinFisher mittlerweile ebenso viel Arbeit in der Verschleierung wie in der eigentlichen Überwachungstechnik. Sein Team habe in den aktuellen Versionen, die Computer mit Windows, macOS und Linux ausspionieren können, ein mehrstufiges Prüfverfahren entdeckt.
Das soll im ersten Schritt erkennen, ob das infizierte Gerät einem IT-Sicherheitsforscher gehört. Dazu ruft das Programm in bis zu 33 Schritten bestimmte Informationen vom befallenen System ab, die auf einem Server analysiert werden. Ergibt sich daraus zum Beispiel, dass FinFisher in einer virtuellen Maschine oder einem sogenannten Debugger (Diagnose-Software zum Finden von Fehlern) läuft, endet die Infektion an dieser Stelle. Die Entwickler gehen offenbar davon aus, dass nur Sicherheitsforscher virtuelle Maschinen oder Debugger verwenden, um Schadsoftware zu untersuchen.
Im zweiten Schritt erfolge die Überprüfung, ob wirklich das richtige Opfer getroffen wurde. Erst dann wird die vollständige Überwachungssoftware aufgespielt – oder eben nicht, wenn den Überwachern die infizierte Maschine verdächtig erscheint. Es bedurfte demnach einiger Tricksereien des Kaspersky-Teams, um dem Server weiszumachen, man sei ein echtes Ziel.
Darüber hinaus sollen weitere spezielle Techniken dafür sorgen, dass der Code besonders schwierig zu analysieren ist. Kasperskys Hinweis darauf ist natürlich auch als Eigenwerbung zu verstehen: Offenbar ist es den Forschern gelungen, alle diese Hürden zu überwinden. Gleichzeitig wird deutlich, dass es ein ständiges Katz-und-Maus-Spiel zwischen IT-Sicherheitsfirmen und Spionagesoftware-Herstellern gibt.
Die defensive Seite hat auch mächtig aufgerüstet
So schwer bis unmöglich es für die einzelnen Opfer sein mag, eine Infektion ihrer Geräte zu bemerken – die defensive Seite der Industrie hat mächtig aufgerüstet. Sie findet Staatstrojaner mithilfe ihrer Forschungsteams, ihrer Telemetriedaten, die sie von ihren Kunden bekommen, oder auch durch Kooperation mit anderen in der Branche. FinFishers Versteckspiel dürfte eine Reaktion darauf sein.
»Der Aufwand, der betrieben wurde, um FinFisher für Sicherheitsforscher unzugänglich zu machen, ist besonders besorgniserregend und auf eine seltsame Weise beeindruckend«, sagt Kuznetsov, leitender Sicherheitsforscher beim Global Research and Analysis Team (GReAT) bei Kaspersky. »Die Tatsache, dass diese Spyware mit hoher Präzision eingesetzt wird und praktisch unmöglich zu analysieren ist, bedeutet auch, dass ihre Opfer besonders anfällig sind.«
Auch das Bundeskriminalamt hat eine Nutzungslizenz für die FinFisher-Software. Der Vertrag wurde bereits im Jahr 2013 abgeschlossen. Erst fünf Jahre später jedoch hatte der Hersteller alle Anpassungen vorgenommen, die einen Einsatz nach deutschem Recht erlaubten. Ob und in welchem Umfang die deutsche Version die von Kaspersky entdeckten Fähigkeiten besitzt, ist unbekannt.
