News Staatstrojaner: Version für verschlüsselte Messenger kommt noch 2017

[miri83]

@Computerbase: Bringt doch mal einen Artikel darüber, wie die Trojaner letztendlich auf die Systeme der "Opfer" kommen. Auf jedem Computer-News-Portal häufen sich gerade die Meldungen zum Staatstrojaner, aber erklärt, wie die Ziel-Systeme letztendlich infiziert werden, wird nicht.
Eine Email in Form von Rechnung(Staatstrojaner).pdf kann ja nicht das Mittel der Wahl sein, um gezielt Personen zu überwachen.

Wie sieht es denn konkret bei den verschiedenen Systemen aus? Im Mobil-Bereich: Geht das über die unsichtbaren SMS, oder müssen die Provider und Hersteller aktiv mithelfen. Das sind irgendwie die einzigen Möglichkeiten, die ich mir vorstellen kann, um anhand der Telefon-Nummer eine Person gezielt, und vor allem ohne dass sie Verdacht schöpft, zu infizieren.
Die andere Möglichkeit mittels physischem Zugriff auf das Gerät sehe ich als nicht wirklich praktikabel an. Ein "Böser", der sein Smartphone nirgends unbeaufsichtigt liegen lässt, wird doch bei der ersten "Kontrolle", bei der er von seinem Gerät getrennt wird, eine Infizierung vermuten und das Gerät als verbrannt betrachten und sich umgehend Ersatz beschaffen.
Wie in Österreich in die entsprechenden Haushalte einbrechen, dürfen die deutschen Behörden ja (noch) nicht.

Und wie sieht es beim Rechner zu Hause aus? Da ja gerade der Einbruch als Option wegfällt, sehe ich hier, außer einer Hausdurchsuchung mit anschließender Infektion des Rechners, keine wirklich praktikable Möglichkeit. Aber selbst dann wird der clevere "Böse" seinen Rechner danach loswerden und sich einen neuen besorgen.

Also ich würde mich wirklich über einen ausführlich recherchierten und mit Interviews von Experten (z.B. Karsten Nohl für dem mobilen Sektor) untermauerten Artikel zu dem Thema freuen.

 

[S1l3nt]

Malware ist extrem beschränkt in ihren Infektionswegen und zwar gibt es so garnicht viele möglichkeiten.

Möglichkeit 1: du aktivierst die Schadware selber per Doppelklickt wenn sie als Anhang in einer Email liegt oder du sie direkt von einer Webseite lädst.

Möglichkeit 2: Über eine Sichehreitslücke,das ist etwas schwiriger,mmmhh ich versuch das mal einfach zu erklären anhand eines Drive by Downloads.

de.wikipedia.org/wiki/Drive-by-Download

Du besuchst eine Webseite die augenscheinlich normal aussieht von mir aus Computerbase,so nun bin ich böser Hacker und habe CB gehackt ohne das es jemand gemerkt hat. Hier plaziere ich jetzt auf der Hauptseite einen iframe mit Frameboarder "0" so das er äußerlich nicht zu erkennen ist.Dieser Iframe leitet nun auf einen von mir betriebenen Server auf dem ich ein Web Attack Exploit Kit laufen habe.Dieses Kit analysiert nun in sekunden schnelle deinen Browser und diverse Tools wie Adobe Flash,Java und Reader nach eventuellen Lücken.wird eine lücke gefunden findet der unbemerkte Download im hintergrund statt und dein System ist infiziert ohne das du auch nur eine Datei oder Link angeklick hast.Du warst nur auf CB und hast die Arschkarte gezogen.Aber jetzt beruhige ich dich mal,so gut wie jeder AV erkennt einen solchen Angrieff und auch mit Addons wie Noscript kann man einen solchen Angrieff einfach blockieren in dem man in den Optionen Iframes verbietet so wie Java und Flash.

So sieht das Bildlich aus,Tausch einfach Malicious Email gegen Computerbase aus,das selbe Ergebnis,der Server in der Mitte ist mein Böser Server mit Exploit Kit.


Ein sehr effektiverr Schutz gegen einen solchen Angrieff ist auch Sandboxie und eine Virtuelle Maschine (VM),hier landet die Malware in einer abgesicherten Umgebung und nicht im Realsystem.Es sei man hat einen sehr cleveren Zeitgenossen,aber davon gibt es nur sehr wenige die sowas hinbekommen.

Weitere Möglichkeiten sind z.b über USB Datenträger,hier kann sich eine Schadware schon beim anstecken des Datenträgers das System Infizieren ohne das weitere Ausführungen gemacht werden müssen,dazu liegt einfach nur auf dem Datenträger die Schadware und eine .ini datei in der ein netter kleiner Befehl eingetragen ist der die Schadware beim anstecken und Ausführen des Autoplays die Schadware aktiviert.

Oder Filesharing Programme sind auch beliebte methoden,hier ist aber wider der User selbst schuld wenn er meine geile freundin.exe läd und anklickt,so viele Wege gibt es nicht für Malware ins System zu kommen.

Die Bundesregierung würde sich das ganze vielleicht sogar einfacher machen und den Internet Anbieter nutzten das er z.b direkt von T-Online auf das System geladen wird,derartiges habe ich mal gelesen,ist aber schon lange her.

 

[miri83]

Ja, aber Deine Möglichkeit 2 bietet keine Möglichkeit der gezielten Infektion eines Systems.

 

[time-machine]

Wie würde das ganze aussehen wenn man sein komplettes system mit truecrypt verschlüsselt?

 

[S1l3nt]

Warum nicht,wenn du vom bösen Admin eine PM bekommst oder ne nette Facebook anfrage hat dich der liebe böse Admin gezielt attackiert und Infiziert und die geile Bombshell bei Facebook auch.

//edit truecrypt ist da vollkommen machtlos weil deine Festplatte ja beim start des System entschlüsselt wird und es dann ja ein vollkommen normales Windows ist.Truecrsypt bringt nur was damit von Außen keiere ran kann z.b deine Eiversüchtige Freundin oder das BKA weil du scheiße gebaut hast.

ups jetzt nimmt er/sie keine PMs mehr vom Admin an und alle Kirschen bei FB mit 90/60/90 stehen auf blocklist,ich und meine große Klappe

 

[mambokurt]

Ja, aber Deine Möglichkeit 2 bietet keine Möglichkeit der gezielten Infektion eines Systems.

Googele mal spear fishing, das ist nix anderes als Lokationen zu hacken, die vom gewünschten Opfer besucht werden und dann über deren Seite Trojaner zu verteilen.

Davon ab reden wir hier vom Staat, da besteht auch die Möglichkeit Seiten während des Ladens zu manipulieren, sprich die könnten sich durchaus auch in den Download klinken und direkt manipulieren (also wenn man sich zb ne .exe ohne Checksumme runterlädt könnten die das live patchen oder eben auch html von Seiten mit drive by Downloads manipulieren)...

 

[Blueeye_x]

Bringt doch mal einen Artikel darüber, wie die Trojaner letztendlich auf die Systeme der "Opfer" kommen

Im April 2017 wurde eine Microsoft Office 0-Day Lücke, zur Verbreitung des Finfisher-Trojaner genutzt:

https://www.golem.de/news/staatstro...n-finfisher-trojaner-genutzt-1704-127307.html

Für die Angriffe nutzte die unbekannte Gruppe auch Social Engineering. Den Opfern wurde ein Word-Dokument zugeschickt, das auf das russische Verteidigungsministerium hinweist. Ein weiteres Dokument sollte offenbar profanere Instinkte ansprechen und versprach Informationen zu "top 7 hot hacker chicks".

( eigentllich nicht zum Lachen, dennoch irgendwie witzig )

Der Finfisher-Trojaner wurde vor vier Jahren, vom Bundesinnenministerium, beim Unternehmen Finfisher gekauft. Finfisher verkauft Trojanerlösungen für PC, Smartphones und Mac.

Doch selbst der "beste" Trojaner kann recht schnell veralten, deswegen muss ständig nach neuen Lösungen gesucht werden:

https://www.golem.de/news/staatstro...ist-noch-nicht-einsatzbereit-1707-128822.html

 

[Gaspedal]

Alle sind glücklich, wir haben ja schließlich nichts zu verbergen und können rund um die Uhr überwacht werden... wer braucht da schon die Freiheit wenn man sich dadurch sicherer fühlt aber Ende dann beides verliert?

 

[S1l3nt]

Jop mambokurt sagt es,also die machen sich das eh sehr leicht,aber die Schadware selber wird nicht der knaller sein.

Davon bin ich nicht überzeugt,sonst hätten sie Finspy nicht gekauft.

 

[user0001]

Stille SMS war mal ein Weg zur Infektion. Weiß aber nicht mehr ob's noch geht.

 

[Raketenjoint]

Da sind die restlichen Gesetze noch vom letzten Jahrhundert und man fängt mit Staatstrojanern an.
Vielleicht könnte man mal damit anfangen, Chatnachrichten vor Gericht als Beweismittel anzusehen und nicht immer davon zu sprechen, man könne ja digitale Inhalte fälschen. (Als ob das nicht auch mit Stift und Papier ginge ...)

 

[miri83]

@time-machine: Wenn Du Deinen vollverschlüsselten Rechner an hast, während Du infiziert wirst, nutzt Dir das nichts. Es schütz lediglich Deine Daten vor Diebstahl oder davor, dass jemand etwas belastendes auf Deine Festplatte speichert. Ich weiß jetzt nicht, ob Truecrypt/Veracrypt einen verschlüsselten Bootloader hat, aber falls nicht könnte man, physischen Zugang zum Rechner vorausgesetzt, dort eine entsprechende Malware installieren, die das System beim nächsten Booten weiter infiziert. Weiter möglich wäre auch eine Infizierung des BIOS/EFI oder der Firmware anderer Geräteschaften wie z.B. der Festplatte.

Physischer Zugang zum Gerät ist immer ganz schlecht.

Googele mal spear fishing, das ist nix anderes als Lokationen zu hacken, die vom gewünschten Opfer besucht werden und dann über deren Seite Trojaner zu verteilen.

Hmm, naja, beim klassischen spear-phishing wird einem eine Email zugesandt, die von einer vermeintlich vertrauenswürdigen oder vorgesetzten Person (im Firmenumfeld) kommt, um einen dann durch Klicken eines Links auf eine entsprechend präparierte Seite zu locken. Generell klicke ich keine Links in Emails an, sondern schaue mir immer erst an, worauf der Link verweist (im privaten Bereich). Generell schreiben mir aber in Zeiten von Messengern aus dem Freundes- und Bekanntenkreis nur zwei Personen hin und wieder mal Emails und diese auch noch verschlüsselt, was eine Freundin nach der Snowden-Geschichte mal spaßeshalber eingeführt hatte. Generell würde ich jetzt mal so behaupten, dass die private Kommunikation nicht mehr über Email läuft.

Davon ab reden wir hier vom Staat, da besteht auch die Möglichkeit Seiten während des Ladens zu manipulieren, sprich die könnten sich durchaus auch in den Download klinken und direkt manipulieren

Das ist ein Szenario, welches ich mir zwar vorstellen kann, aber auch das ist viel einfacher gesagt als getan. Zum einen muss der Provider da aktiv mithelfen und das Ziel darf keinen VPN-Tunnel nutzen und zum anderen sind die bekannteren Programme, die man sich so instaliert ja signiert, da können die nicht einfach dran herum pfuschen. Von den nicht signierten Programmen müssten die ja im Vorfeld wissen, welches sich das Ziel herunterladen will.

Im April 2017 wurde eine Microsoft Office 0-Day Lücke, zur Verbreitung des Finfisher-Trojaner genutzt

Ja, aber da wurde der Trojaner ja an sämtliche Systeme mit entsprechender Lücke verteilt und nicht gezielt an ein einzelnes System eines "Verdächtigen".


Also der Weg, den der Staat meiner Meinung nach hätte, Systeme gezielt aus der Ferne zu infizieren, wäre, mit Hilfe des Providers im Vorfeld ein Profil der angesurften Seiten zu erstellen (wieder vorausgesetzt, es wird kein VPN benutzt) und dann zur Zeit der Aktion die aktuelle IP-Adresse zu erfragen. Bei einer nicht SSL-geschützten Seite könnte dann Schadcode in die Seite eingeleitet werden. Bei einer https-Seite müsste dann auch noch der Seiten-Betreiber behilflich sein.

Das sind aber alles viel zu viele Variablen, weshalb ich denke, dass das eher unpraktikabel ist. Von daher glaube ich, dass bald ein Gesetz nachgeschoben wird, welches es den entsprechenden Behörden erlaubt, in die Wohnung des Ziels einzubrechen und entsprechende Veränderungen am System vorzunehmen, wie es in Österreich möglich ist.

Gezielte Manipulation durch direkten, physischen Zugang scheint, meiner Meinung nach, das einzig Machbare zu sein.

 

[S1l3nt]

@ miri83 bei dem Drive by Download musst du auf keinen Link klicken wenn die Email als HTML versendet wird.Da kann man einfach einen iframe reinstecken und hat eine gezielte Attacke. Ich hab mir mal dem Spaß gemacht und dein Nick bei Google eingegben,bin sogar auf eine Email adresse bei web.de in verbindung mit dem Nick gestoßen.

Und mit etwas aufwendiger Recherche landet man vielleicht sogar noch bei einem Facebook Account oder Twitter what ever,wir hinterlassen überall im Netz unsere Spuren und mit ein wenig Recherche kann man die einzelnen punkte miteinander verbinden und einen gezielten Angrieff starten.

Man muss nirgendwo einbrechen,ist nicht Nötig.Du verwechselst da nur etwas.Einen gezielten Angrieff kann man nicht abwehren,nur einen Streuangrieff der an tausende von leuten geht.Ich war da z.b noch nie betroffen von solchen Attacken.

 

[miri83]

Ah, OK, ja, wenn HTML nicht deaktiviert ist, ist das definitiv ein Einfallstor, vorausgesetzt die Email-Adresse ist bekannt - die web.de ist z.B. nicht meine.
Aber da fast jeder einen FB-Account hat, geht es darüber wohl einfacher.

Edit: Dann müssen die aber eine 0-Day-Lücke für die gängigen Browser vorhalten + mindestens eine für das Betriebssystem des Zielrechners.

 

[S1l3nt]

Das ist doch kein Problem heut zu tage an ein 0-Day Exploit zu kommen,kannste Shoppen gehen mit dem nötigen klein Geld zerodium.com/program.html und zur gezielten Attacke,bei Facebook hat sich mal jemand als hochrangiger General oder sowas ausgegeben und zahlreiche Konten von Behörden Infiltriert.

Ist alles ganz einfach heut zu Tage sogar kevin Mitnick mischt da jetzt mit mitnicksecurity.com/shopping/absolute-zero-day-exploit-exchange

 

[Syntax_Error]

In meinen Augen dient der ganze "Staatstrojaner-Zirkus" nur einem einzigen Grund: Der Verunsicherung der Bevölkerung.

 

[AdmiralPain]

In meinen Augen dient der ganze "Staatstrojaner-Zirkus" nur einem einzigen Grund: Der Verunsicherung der Bevölkerung.

Es herrscht Alarmstufe Orange.

Was bedeutet dies?
Das bedeutet, es könnte irgendwo, irgendwann, irgendwie, irgendwas passieren.

(American Dad)

 

[Turrican101]

Schön, dass sich was tut und Ermittlungsbehörden effektive Werkzeuge für ihre Arbeit in die Hand bekommen.

Genau, dann kann man nach dem Anschlag nicht nur sagen dass der Attentäter bekannt war, sondern dass er sehr gut bekannt war.

 

[Klassikfan]

Was bin ich doch froh, daß ich hier nicht in der "russischen Diktatur" von "Stalin 2.0", Wladimir Wladimirowitsch Putin lebe, sondern in einem freien Land! Wo jeder sagen/schreiben kann, was er denkt, und meine Bürgerrechte bis ins kleinste gewahrt werden, und jegicher staatliche Eingriff in diese verhindert wird.....

 

[gerzerk]

Nun ja, nicht schön aber womöglich nötig. Angeblich soll es hier bereits 7600 islamistische Gefährder geben, denen man schwerste Straftaten zumutet. Wenn man das einmal mit der Panik vergleicht, die wegen ein paar RAF Hansels in den Siebzigern verbreitet wurde, ein deutlich heftigeres Szenario. Ganz davon abgesehen, dass sich in diesem Zusammenhang die Linke und Rechte Gewalt gegenseitig Aufschaukeln wird.

Hinzu kommt das organisierte Verbrechen, welches scheinbar Deutschland als leichtes Opfer ansieht. Jetzt sollen sich hier mittlerweile diese russisch/georgischen Schwerstkriminellen breit gemacht haben, nennen sich "Diebe im Gesetz", die geschworen haben, zu Lebenszeit Verbrechen zu begehen. Von den anderen mafiösen Vereinigungen einmal ganz abgesehen.

Wir werden eine Amerikanisierung unserer Großstädte erleben und damit meine ich sicherlich nicht irgendwelche Flaniermeilen. Über 80% der immigrierten Menschen waren junge Araber und Afrikaner zwischen 18-35 Jahren, wenn davon nur ein kleiner Bruchteil sich dem Extremismus zuwendet, oder kriminell wird, dann gute Nacht.

Ob da ein Staatstrojaner ausreichen wird für Ordnung zu sorgen, sollte fraglich sein.

Den Steichelzoo Deutschland, wie wir ihn lange Zeit kannten, wird es so irgendwann nicht mehr geben.