RA Koll @Twitter

Forensic Tools

Remote Control System (RCS) “Galileo” – Neuer Staatstrojaner für Handy’s

Sicherheitsspezialist Kaspersky warnt vor einem neuen Smartphone-(Staats-)Trojaner mit dem Namen "Galileo", der von Geheimdiensten und Strafverfolgungsbehörden eingesetzt wird. Die Spionagesoftware lÀsst sich auf iPhones (mit Jailbreak) und Android-Handys sowie WindowsMobile und Blackberry gleichermassen einsetzen.

Der Staatstrojaner wird den Berichten von Kaspersky zufolge von LĂ€ndern in der ganzen Welt verwendet und wurde in der Vergangenheit bereits gegen  Menschenrechtler, Politiker und Journalisten eingesetzt. Der Betrieb erfolgt ĂŒber ein Netzwerk weltweit verteilter Kommandoserver in den USA, Kasachstan, Ecuador, England und Kanada. Insgesamt sollen es mehrere hundert Server in ĂŒber 40 LĂ€ndern sein.

 

Er ermöglicht die Ortung des Handys, kann Fotos aufnehmen und versendet Informationen ĂŒber die im Handy genutzte SIM- Karte. "Galileo" kann die gesamte Kommunikation (WhatsApp, Viber, Skype und SMS), die ĂŒber ein Smartphone lĂ€uft, abfangen, und das GerĂ€t sogar zur mobilen Wanze machen. Ja sogar Telefonate kann die RCS des Herstellers ”HackingTeam” abhören.

 

Heise bezeichnet den Funktionsumfang als “erschreckend”. Eine informative Grafik von Spiegel Online zeigt, welche Staaten Software des Herstellers HackingTeam und damit möglicherweise auch das Tool einsetzen.

Forensik-Distribution DEFT

Im Rahmen der EDV-Beweissicherung werden viele unterschiedliche Werkzeuge eingesetzt, je nach dem Ziel der vorzunehmenden Beweissicherung. Dazu sind oft eine Vielzahl unterschiedlicher Computerprogramme (Tools) erforderlich, die hĂ€ufig in Tool-Sammlungen (z.B. WindowsForensicToolchest) zusammen gefasst werden, um dem IT-Forensiker die Arbeit zu erleichtern. Solche Tool-Sammlungen werden auch gerne als “Forensic Suite” oder Arbeitumgebung bezeichnet, bestes Beispiel ist die Software X-Ways Forensics der Firma X-Ways Software Technology AG, welche fast flĂ€chendeckend von deutschen Strafverfolgungsbehörden eingesetz wird.

 

Allerdings ist der IT-Forensiker nicht auf kommerzielle Software angewiesen, deren Anschaffung zum Teil mit erheblichen Kosten verbunden ist. Es gibt eine Vielzahl frei erhĂ€ltlicher Forensic Suites, die neben der EDV-Beweissicherung auch zu anderen Zwecken, wie insbesondere Datenrettung und Sicherheitsanalysen (penetration testing) genutzt werden. Eine gute Übersicht findet sich z.B. hier. Zum Teil basieren diese Forensic Suites auf LINUX als quelloffenem Betriebssystem. Bekanntestes Beispiel dĂŒrfte in diesem Zusammenhang die Security-Distribution BackTrack Linux sein.

 

Eine interessante Alternative ist die erst Anfang des Jahres in neuer Version 7.1 erschienene italienische Distribution DEFT Linux,  basierend auf Lubuntu.  DEFT Linux 7.1 ist in Form einer Live-DVD erhĂ€ltlich und verwendet den Kernel 3.0.0-1, womit auch neueste Hardware und insbesondere Dateisysteme zuverlĂ€ssig unterstĂŒtzt werden. Daher kann diese Distribution auf fast allen aktuellen Laptops und Desktop-PCs eingesetzt werden. Nach Angaben der Entwickler wurden insbesondere umfangreiche Tests mit Lenovo Laptops sowie aktueller Hardware von Acer, ASUS, Apple, DELL, IBM.

 

Die Distribution bringt eine große Zahl an Analysewerkzeugen mit. Neben den verbreiteten Linux-Tools werden als Besonderheit jedoch auch zahlreiche Windows-Tools mitgeliefert. Diese werden per WINE-Emulator ausgefĂŒhrt.  Die Distribution wendet sich nach Herstellerangaben neben Privatanwendern insbesondere an professionelle Nutzer wie MilitĂ€r, Polizei und andere staatliche Organisationen. Unter anderem nutzt auch die italienische Anti-Mafia-Behörde, die DIA (Direzione Investigativa Antimafia) DEFT Linux.

Professionelle Cyberkriminelle – Trojaner-Programmierer entwickeln eigene Programmiersprache

Die Programmierer des Duqu-Trojaners haben nach Angaben von Experten von Kaspersky Lab Teile des schĂ€dlichen Codes in einer bislang unbekannten Programmiersprache verfasst. Die gleichen Programmierer haben im Übrigen den Stuxnet-Wurm programmiert.

Die Analysen des Anti-Viren-Herstellers Kaspersky haben ergeben, dass die Sprache objektorientiert ist und insbesondere im Bereich der Netzwerkbefehle mit einem eigenen Befehlszeichensatz arbeitet. Nach Angaben der Analysten nannte sich der Teil des Trojaners, der in der bislang unbekannten Programmiersprache abgefasst ist, „Duqu-Framework“.

Laut Chief Security Expert Alexander Gostev zeigt die gesamte Vorgehensweise, wie professionell die Entwickler bei der Programmierung des Duqu-Trojaners vorgegangen sind. Dazu mĂŒssen erhebliche technische und auch finanzielle Ressourcen fĂŒr das Projekt zur VerfĂŒgung gestanden haben.

Dies zeigt deutlich, dass Internet-Kriminelle immer professioneller vorgehen. Angesichts des erheblichen Finanzbedarfs, den solche Projekte mit sich bringen, ist zudem davon auszugehen, dass organisierte Strukturen als Auftraggeber hinter solchen AktivitÀten stehen.

Der Duqu-Trojaner wurde erstmals im September 2011 entdeckt. Die Analyse des Programmcodes ergab jetzt jedoch, dass das Stuxnet-Projekt in direkten Zusammenhang mit diesem Trojaner steht.

Duqu war insbesondere bei Angriffen auf industrielle Kontrollsysteme aufgefallen, wurde also im Rahmen von Industriespionage eingesetzt. PopulÀrstes Ziel waren dabei Atomkraftwerke im Iran.