Trojanisierte Messenger-Apps aus dem Appstore

Moderne Messenger nutzen immer häufiger Ende-zu-Ende-Verschlüsselung, um ein Mitlesen der Nachrichten beim Transport im Netz auszuschließen. Einfacher gelingt das Spionieren, wenn man Zugriff auf eines der beiden Telefone hat, in denen die Nachrichten eingetippt und lesbar angezeigt werden. Noch einfacher wird es, wenn man nicht das ganze Telefon kompromittiert und anschließend die Daten mühsam aus den Apps extrahieren muss, sondern direkt in der Messenger-App mitlesen kann.

In einem Bericht von ESET-Forschern werden zwei trojanisierte Messenger-Apps analysiert. Die mutmaßlich staatlichen Hersteller haben dazu einfach die verfügbaren Quellcodes des Telegram- und des Signal-Clients genommen. Die Apps wurden um die Spionagefunktionen ergänzt, umbenannt und als Messenger-Client mit zusätzlichen Features in den App-Stores angeboten. Die besondere Telegram-App hatte als beworbenes Zusatzfeature zum Beispiel eine Back-up-Funktion, die jedoch nicht nur für die Nutzer praktisch war. Da das Back-up bei den Spionen landete, standen ihnen damit gleich alle Daten gebündelt zur freien Verfügung.

Die Apps wurden aktiv beworben und waren über verschiedene App-Stores verfügbar. Die Nutzer haben sie dann selbst installiert und damit den Zugriff auf alle ihre Nachrichten ermöglicht.

Sie sind unter uns – Cyber-Einheiten in der EU

Einige Beobachter haben es länger schon vermutet, nun ist es Gewissheit: Staatliche Akteure haben begonnen, dezentrale Cyber-Einheiten in Europa zu stationieren. Nun wurde bekannt, dass tschechische Sicherheitsbehörden bereits 2018 eine Gruppe ausgehoben haben, die unter dem Deckmantel des Handels mit IT über Jahre verdeckte Cyberoperationen auf dem Boden der Tschechischen Republik bzw. von diesem aus durchgeführt hatte. Wie die Analyse des renommierten OPSEC- und Cyberspionageexperten „The Gruc“ – kaum jemand kennt den Klarnamen des Südafrikaners – zeigt, wurden die russischstämmigen Personen, die teilweise über tschechische Pässe verfügten, quasi als „freie Mitarbeiter“ des russischen Inlandsgeheimdienstes FSB geführt, von diplomatischen Fahrzeugen aus mit Technik versorgt und vermutlich auch kontrolliert.

Das Rezept „People. Ideas. Hardware. In that order.“ des Militärstrategen John Boyd ist also bereits von der Russischen Föderation – und anzunehmenderweise weiteren Akteuren – auf eine neue Ebene gehoben worden. Zwar ist Geolokation für Cyberangriffe weniger relevant als für andere Waffengattungen, Staaten können jedoch auf diese Weise kostengünstig und risikoarm ihre Cyber-Zweitschlagskapazität hochfahren und geografisch verteilen.

Neu ist also: Akteure können auch „Auftragnehmer“ in anderen Ländern sein. TTPs (Tactics, Techniques and Procedures, anhand derer Angreifergruppen teilweise erkannt und ihre Aktionen u. U. vorausgesagt werden können) passen dann besonders schlecht zum üblichen Fußabdruck des Auftraggebers. Sie können sich in relativ kurzer Zeit frei bewegen und die logistischen Anforderungen sind extrem niedrig. Zeit für die Verteidiger, sich hierauf einzustellen.

https://gru.gq/2019/10/24/fsb-deploys-cyber-units-inside-europe-for-years/