Erstellt am: 13. 7. 2015 - 19:00 Uhr
Bundesheerkontakte zu Trojanerfirma
Mehrere Dienststellen des österreichischen Bundesheers standen in Kontakt mit der italienischen Firma "Hacking Team", die sogenannte "Staatstrojaner" an Polizei und Geheimdienste vertreibt. Unbekannte hatten diesen einschlägig bekannten Produzenten von Schadsoftware gehackt, 400 GB Rohdaten landeten im Netz. In diesem enormen Datensatz, der langsam aufgearbeitet wird, kamen am Wochenende auch vier Mailadressen des Bundesheers zum Vorschein.
Update 15.7. 2012
Das Bundesheer hat am Dienstag geschäftliche Kontakte zur Firma Hacking Team dementiert. Mehr dazu in einen Follow-Up am Wochenende.
Dabei handelt es sich um Sammeladressen von vier Heeresdienststellen, die Kontakte müssen bereits vor 2009 begonnen haben. Drei dieser vier Mailadressen lauten nämlich noch auf "bmlv.gv.at", erst 2009 wechselten die Ѕportagenden zum Verteidigungsministerium, seither wird "bmlvs.gv.at" benutzt. Die Art dieser Kontakte ist noch unbekannt, da erst ein kleiner Teil des Leaks lesbar vorliegt. Es ist daher möglich, dass der Datensatz noch weitere Informationen dazu enthält. Seit Samstag läuft eine Anfrage von ORF.at beim Bundesheer, eine Antwort steht noch aus.
Public Domain
Wer auf der Liste ist
Hacking Team ist seit Jahren für Deals mit repressiven Staaten bekannt. Auf den ISS-Überwachungsmessen, wo diese Geschäfte angebahnt wurden, ist die Firma stets präsent
Die Mailadressen des Bundesheers finden sich in einer alphabetisch sortierten Liste, die vom Mailserver der Firma automatisch erstellt wurde und als Anhang an den Geschäftsführer Hacking Team (HT), David Vincenzetti ging. Es ist dies eine Routinevorgang der den aktuellen Stand der Mailingliste vom Server abruft, um sie zu aktualisieren. Sie enthält mehr als 2.000 E-Mailadressen vor allem von Polizeibehörden und Ministerien rund um den Globus, wobei viele Adressaten aus Afrika und Asien enthalten sind. Das passt zur Untersuchung der Vereinten Nationen gegen HT, die verdächtigt wurden, ihre Spionagesuite RCS (alias Galileo) an den Sudan geliefert zu haben, gegen den UN-Sanktionen verhängt sind. Nun liegt eine Rechnung vor, die für 2012 einen Umsatz von 480.000 Dollar mit sudanesischen Behörden ausweist.
Deutsche Präsenz
Unter den EU-Staaten ist Deutschland mit drei Dutzend Adressen auffällig stark vertreten. Darunter sind zahlreiche Bundes- und Landespolizeibehörden, der Bundesverfassungsschutz aber auch Dienststellen - wie etwa eine aus dem deutschen Außenministerium - von denen man nicht gleich erwarten würde, dass sie sich für den Ankauf von Schadsoftware interessieren. Adressen, die eindeutig Militärs zugeordnet werden können, wіe im Fall des Bundesheers, sind hingegen weit spärlicher vertreten als Polizeibehörden.
Public Domain
Die dritte Gruppe von Adressaten besteht aus anderen Firmen, die ebenfalls für den Überwachungskomplex tätig sind. Hier finden sich bekannte Namen von "Üblichen Verdächtigen" wie die deutsche Digitask. Die war 2011 bekannt geworden, weil eine von Digitask gelieferte Software für "Fernforensik" in die Hände der Spezialisten des Chaos Computer Clubs geraten war, die in Folge analysiert wurde. "Fernforensik" oder "Onlinedurchsuchung" sind die gängigen deutschen Euphemismen für die amtliche Verseuchung eines PCs mit Schadsoftware. Für gewöhnliche Bürger steht derselbe Tatbestand unter Strafandrohung von bis zu fünf Jahren Haft, weil es sich um eine schwere Straftat handelt.
Spezielle Consultants
Dass hier neben staatlichen Interessenten - also potenzielle Kunden - auch andere Firmen aus dem Überwachungskomplex auf derselben Kundenliste stehen, ist nur scheinbar ein Widerspruch. In dieser Branche ist es völlig üblich, dass mehrere, jeweils anders spezialisierte Firmen an einem Überwachungsprojekt gemeinsam tätig sind. Typischerweise handelt es sich dabei um Consultants, die neben eigenen, auch Produkte von anderen Zulіeferern implementieren.
CC BY-SA 2.0 /Citizenlab
Das betrifft vor allem des gesuchteste Modul, den sogenannten "Exploit", ein Stück Schadsoftware, das auf eine weit verbreitete Sicherheitslücke aufsetzt. Am teuersten sind sogenannte "Zero Day Exploits" (0day), die ein noch unbekanntes Loch in einem Betriebssystem oder einer weit verbreiteten Software zum Ersteindringen in einen PC oder ein Smartphone nützt.
Das kanadische Citizenlab hatte bereits 2014 den Einsatz von HT-"Galileo" in 21 Staaten nachgewiesen
Zugekaufte Exploits
Am Wochenende wurde im geleakten Konvolut der zweite solche 0day gefunden, beide betreffen die Adobe-Flash-Software für Videos. Dieser Exploit-Typus fällt in die obere Preisklasse von gefundenen Sicherheitslücken, weil Flash immer noch sehr weit verbreitet ist und überdies auf Windows, Mac und Linux sowie auf den Android- und iOS-Plattformen läuft.
Diese 0days werden vom "Hacking Team" längst nicht alle selbst entdeckt, sondern vor allem zugekauft. Wie aus geleakten E-Mails hervorgeht, kam ein Programmierer aus Russland, der einen 0day anbot, nach einem kurzen Test des Exploits mit Hacking Team ins Geschäft. Das wurde binnen 24 Stunden abgeschlossen, der Exploit kam auf 45.000 Dollar, obwohl das Angebot nicht einmal exklusiv war, die erste Rate floss sofort.
Public Domain
Detektive kommen ins Spiel
Wikileaks hat eine Suchmaschine für die HT-Mailarchive. Ausgesuchte Dokument aus dem Datenwust finden sich bei Cryptome
Ein weiteres Dokument aus dem Fundus zeigt, wie die Geschäfte in dieser hochprofitablen Schattenbranche laufen. Da man bei HT vermutete, dass der Wiederverkäufer von "Galileo" in den USA Geschäfte auf eigene Rechnung machte, wurde die Wirtschaftsdetektei Kroll engagiert, um, diesen Geschäftspartner auf seine Lauterkeit zu überprüfen. Für die Ermittler von Kroll erwies sich die Angelegenheit als Heimspiel, denn die bei solch verdeckten Ermittlungen übliche Tarnung mit einer Scheinfirma war nicht notwendig.
Die Detektive zeigten ganz einfach als Vertreter der Detektei Kroll Interesse am Erwerb der Trojanersuite. Nach und nach ergaben die Ermittlungen, dass dieser Zwischenhändler namens "Velasco" auch Vizepräsident eines Start-Ups namens ReaQta ist. Beim CEO der Firma handelt es sich um einen ehemaligen leitenden Entwickler, der für HT jahrelang auf den ISS-Überwachungsmessen aufgetreten war. Das Produkt von ReaQta ist eine Netzwerküberwachungssuite für Unternehmen zur Erkennung und Abwehr von Trojanerangriffen, auch die Galileo-Suite wird erkannt.
Ausblick für die Überwachungsbranche
Diese Geschäftsmethoden erklären sich aus den Umsätzen, die in dieser Branche getätigt werden. Allein in Mexiko, Italien, Saudi Arabien und Chile wurden von HT mit etwa zwei Dutzend Angestellten fast 20 Millionen Dollar umgesetzt. Ähnlich profitabel muss die deutsch-britische Gamma Group, deren Spionagesuite FinFisher in direkter Konkurrenz zu HT-Galileo steht, gewesen sein, bis sie im August 2014 gehackt wurde. Die Geschäftspraktiken beider Firmen sind ebenso zum Verwechseln ähnlich, auch von Gamma wurden repressive Regimes rund um die Welt mit Überwachungssoftware ausgestattet. Nachdem sie so in Rampenlicht gezerrt wurde, ist es um Gamma zwischendurch ziemlich still geworden, zumal Öffentlichkeit auf Firmen aus dieser Schattenbranche Ähnliches bewirkt wie Tageslicht bei Vampiren.
Auf der ISS-World Afrika, die am 27. Juli in Johannesburg beginnt, stehen auch mehrere Vorträge von Hacking Team auf dem Programm, fraglich ist nur, ob sie auch stattfinden werden.