Spyware: HackingTeam

Inhalt

    Der vorliegende Artikel wurde von Sergey Golovanov (Virenanalyst bei Kaspersky Lab) und auf Basis technischer Daten erstellt, die die Experten von Kaspersky Lab im Rahmen einer Analyse der Schadprogramme Korablin und Morcut zusammengetragen haben. Einige Schlussfolgerungen konnten die Kaspersky-Spezialisten anhand von Daten aus öffentlich zugänglichen Quellen ziehen, die im Fazit aufgelistet sind. Fragen zum Inhalt des Artikels können Sie auf der Kaspersky-Lab-Webseite www.securelist.com stellen oder sich diesbezüglich an den Technischen Support auf der Webseite www.kaspersky.com wenden.

    Spyware für Strafverfolgungsbehörden

    Laut Wikipedia-Definition wird als Spyware (Spionagesoftware) „üblicherweise Software bezeichnet, die Daten eines Computernutzers ohne dessen Wissen oder Zustimmung an den Hersteller der Software oder an Dritte sendet […]“.

    Obwohl die Entwicklung und Verbreitung von Schadprogrammen in den meisten Ländern per Gesetz verboten ist, existieren derzeit mindestens drei Programmpakete, die – wie die Entwickler versichern – geschaffen wurden, um Daten über die Aktivitäten der Anwender auf deren Computern zu sammeln und diese Informationen daraufhin an Strafverfolgungsbehörden zu übermitteln.

    Als erste Software dieser Art, die einer breiten Öffentlichkeit bekannt wurde, gilt der Bundestrojaner, den deutsche Strafverfolgungsbehörden zur Beobachtung von Personen im Internet einsetzen. Ein weiterer bekannter Spion ist der von der Firma Gamma International entwickelte FinSpy, der den Strafverfolgungsbehörden verschiedener Länder die Möglichkeit bietet, die Computer und mobilen Geräte von Verdächtigen auszuspionieren. Das dritte Spionageprogramm ist das Remote Control System (RCS). Diese Software wurde vom italienischen Unternehmen HackingTeam mit dem Ziel entwickelt, sie an die Behörden verschiedener Länder zu verkaufen – und von genau diesem Programm ist im vorliegenden Artikel die Rede.

    HackingTeam

    Das Unternehmen HackingTeam zog bereits im Jahr 2011 erstmals die Aufmerksamkeit von uns auf sich. Damals erschienen auf WikiLeaks Dokumente, in denen die Funktionalität von Spionage-Programmen beschrieben wurde, die das Unternehmen staatlichen Institutionen zum Kauf anbot.

    Anfang 2012 entdeckten wir  Windows-Schadprogramme, deren Funktionalität eine erstaunliche Ähnlichkeit zu den auf WikiLeaks beschriebenen Programmen sowie zum Remote Control System aufwies, dessen Beschreibung auf der offiziellen Webseite des Unternehmens veröffentlicht worden war. Allerdings konnten wir damals noch keine Zusammenhänge zwischen den entdeckten Schädlingen (die wir als Korablin bezeichnet) und den Spionageprogrammen von HackingTeam her stellen.

    Programmbeschreibung auf der Webseite von HackingTeamhttp://www.hackingteam.it/images/stories/RCS2012.pdf

    Alles änderte sich im Juli 2012, als viele Antivirus-Unternehmen eine E-Mail mit einem Schadcode-Sample unter Mac OS X erhielten, das genau dieselbe Funktionalität besaß.

    Die E-Mail wurde am 24. Juli 2012 um 05:51:24 Moskauer Ortszeit an die Adresse newvirus@kaspersky.com geschickt. Sie enthielt keinen Betreff und keinerlei Text, lediglich die angehängte Datei AdobeFlashPlayer.zip. Darin befand sich eine selbstsignierte JAR-Datei, die ein Mac OS X-Programm enthielt.

    Header der E-Mail, die an newvirus@kaspersky.com gesendet wurde

    Bald fügten praktisch alle Antivirus-Unternehmen das Schadprogramm ihren Datenbanken hinzu und nannten es jeweils anders – zum Beispiel Crizis, DaVinci oder Boychi. Wir gaben ihm den Namen Morcut. Fast jeder Antivirus-Anbieter verdächtigte die italienische Firma HackingTeam der Entwicklung dieses Programms. HackingTeam verkauft spezielle Software zu Beobachtungszwecken an Strafverfolgungsbehörden verschiedener Länder.

    Beweise

    Das Vorhandensein einer ähnlichen Funktionalität ist nur einer von drei indirekten Belegen für die Beteiligung von HackingTeam an den analysierten Dateien. Wenden wir uns nun den beiden anderen zu.

    Im Data Overhead der erhaltenen Mac-Datei fanden sich Namen von Ordnern und Modulen, die die Autoren beim Schreiben des Programmcodes verwendet hatten. Diese Namen enthielten mehrfach die Buchstabenkombination RCS, die Abkürzung für Remote Control System. Diese Abkürzung verwendet HackingTeam in Werbe-Materialien und der Beschreibung des Programms auf der Unternehmens-Webseite.

    Beispiel für die Verwendung der Bezeichnung RCS in der Beschreibung des Programms von HackingTeam
    http://www.hackingteam.it/index.php/remote-control-system

    Verwendung der Buchstaben-Kombination RCS im Schadprogramm unter Mac OS X

    Schließlich wurde ein Exploit gefunden, das den Schädling von der Webseite www.hackingteam.it lädt. Dieses Exploit wurde am 4. Juli 2012 auf die Webseite www.virustotal.com geladen.

    Ausschnitt der Payload des Exploits, das vom Schadprogramm von der Webseite
    hxxp://rcs-demo.hackingteam.it/***ploit.doc2

    Im Zuge der Untersuchungen konnten wir folgendes auf decken:

    1. Übereinstimmung der Funktionen des Schadprogramms mit den Funktionen des von HackingTeam angebotenen Programms.
    2. Übereinstimmungen in den Bezeichnungen, die im Data Overhead der untersuchten Schädlinge und auf der HackingTeam-Webseite verwendet werden.
    3. Download des Schädlings von der HackingTeam-Webseite.

    Ausgehend von diesen Ergebnissen ist anzunehmen, dass die Spionage-Programme, die den Antivirus-Ermittlern in die Hände gefallen sind, mit großer Wahrscheinlichkeit vom italienischen Unternehmen HackingTeam entwickelt wurden. Zum leichteren Verständnis werden diese Schadprogramme im Folgenden als RCS bezeichnet (sowohl die unter Windows als auch die unter Mac OS Х).

    In allen per E-Mail versendeten Mac OS X-Dateien befanden sich übrigens Verweise auf Dateien, die im persönlichen Ordner eines gewissen „guido“ liegen:



    Der Benutzername „guido“ im Code des Schadprogramms

    Eine weitere interessante Übereinstimmung: Laut eines Eintrags bei www.linkedin.com gibt es einen Senior Software Developer bei HackingTeam, der ebenfalls Guido heißt.

    Account des Anwenders „Guido […]“ bei LinkedIn, der HackingTeam als seinen Arbeitgeber angibt

    Spion mit Merkwürdigkeiten

    Zum gegenwärtigen Zeitpunkt befinden sich in der Kaspersky-Schadprogramm-Kollektion mehr als 100 Exemplare von RCS mit praktisch identischer Funktionalität. Wie bereits oben erwähnt, stimmt die Beschreibung dieser Samples mit der Beschreibung von RCS auf der offiziellen Webseite von HackingTeam und mit der auf der Webseite von WikiLeaks (pdf) veröffentlichten Beschreibung des HackingTeam-Programms überein.

    Auf WikiLeaks veröffentlichte Beschreibung von RCS

    Die Dateien von RCS für Windows wurden in der Programmiersprache C++ geschrieben. Damit Antivirus-Lösungen das Programm nicht entdecken, verwendeten seine Entwickler praktisch keine Methoden zum Schutz vor Analyse, was wiederum charakteristisch für Programme ist, die bei der Durchführung von zielgerichteten Attacken eingesetzt werden.

    Die ganze Funktionsweise von RCS zeigt sich am Anfang der ausführbaren Dateien bei der Initialisierung der Objekte.

    Initialisierung der Objekte von RCS

    Der Quellcode offenbart, dass RCS ein selbstverbreitendes Schadprogramm ist, das für den Diebstahl von persönlichen Daten und zur Bereitstellung von Remote-Zugriffen auf infizierte Systeme vorgesehen ist.

    Für die Umsetzung der Spionagefunktion kopiert das Programm die Account-Zugangsdaten und fängt Mitteilungen aus Browsern (Firefox, Internet Explorer, Chrome, Opera), E-Mail- (Outlook, Windows Mail, Thunderbird) und IM-Clients (Yahoo, verschiedene Microsoft Messenger, Google Talk, Skype, Paltalk, Trillian) ab. Zudem hört es Audio- und Videostreams ab.

    Allerdings besitzt RCS Funktionen, die nach Ansicht des Kaspersky-Teams für ein Spionageprogramm überflüssig sind. Durch eine Analyse der Befehle, die vom RCS-Steuerungsserver kommen, lassen sich die bedeutendsten von ihnen herausfiltern. Auf Befehl des Steuerungsservers lassen sich die folgenden Funktionen aktivieren:

    1. Selbstverbreitung über USB-Speicher:
      1. Die übliche Verbreitung über die Datei Autorun.inf (so wie bei den meisten Würmern, die wir unter der Kategorie Worm.Win32.AutoRun führt).
      2. Verwendung des gefälschten Eintrags „Ordner öffnen, um Dateien anzuzeigen“ im Fenster „Automatische Wiedergabe“ (beliebte Methode, die zur Selbstverbreitung von Würmern eingesetzt wird, insbesondere beim Wurm Kido/Conficker).
      3. Ausnutzung der Sicherheitslücke CVE-2010-2568 (wurde von Stuxnet zur Selbstverbreitung über LNK-Dateien ausgenutzt).
    2. Infektion virtueller Maschinen (VMware) durch Selbstkopie in den Autostartordner der virtuellen Festplatte.
    3. Infektion mobiler Geräte, auf denen die Betriebssysteme BlackBerry oder Windows CE laufen.
    4. Selbstaktualisierung.
    5. Verwendung des Verschlüsselungsalgorithmus AES für die Arbeit mit Dateien und Steuerungsservern.
    6. Installation von Treibern.

    RCS kann weder den Inhalt des Dateisystems kopieren noch den Inhalt des Arbeitsspeichers aufzeichnen. Das hat zur Folge, dass im System ausgeführter willkürlicher Code (Selbstaktualisierung oder Installation von Treibern) keine eindeutigen Rückschlüsse darauf zulässt, ob beispielsweise illegale Inhalte, die sich auf dem Computer eines Verdächtigen befinden, auch vom Verdächtigen selbst dorthin geladen wurden und nicht von den Betreibern von RCS. Wir sind der Meinung, dass dieses Programm nicht zum Sammeln von Informationen verwendet werden kann, um damit die Durchführung illegaler Aktivitäten zu beweisen.

    Man kann sagen, dass dieses Programm eine recht merkwürdige Funktionalität besitzt: Es tut das, was es nicht tun sollte und tut das nicht, was ein Programm tun sollte, das Informationen für ein gerichtstechnisches Gutachten sammelt.

    Verbreitung

    RCS manifestiert sich auf den infizierten Computern in Form von mehreren Dateien mit zufälligen Bezeichnungen und einer dynamischen Bibliothek, für deren Installation zusätzliche Schadprogramme erforderlich sind. Im Zuge der Analyse entdeckten wir Dropper und Downloader, die für die Installation von RCS benutzt werden.

    Beispiel für Dateien, die vom RCS-Installationsprogramm erstellt werden

    Nach der Veröffentlichung auf WikiLeaks nahmen wir an, dass unter Berücksichtigung der Möglichkeiten der Strafverfolgungsorgane in verschiedenen Ländern die Verbreitung von RCS über den Austausch von angefragten ausführbaren Dateien auf der Ebene von Internet-Providern erfolgt.

    Allerdings zeigte die selbstsignierte JAR-Datei, die wir im Juli 2012 per E-Mail erhielt, dass für die Verbreitung von RCS auch Social-Engineering-Methoden eingesetzt werden können.

    Beispiel für ein selbstsigniertes Java-Applet, das RCS auf einem Computer installiert

    Die Attacke läuft folgendermaßen ab: Der Anwender erhält eine E-Mail, die entweder einen Link auf eine Datei oder eine angehängte Datei enthält. Der Inhalt der Mitteilung zielt darauf ab, dass der Empfänger die Datei öffnet (beziehungsweise auf den Link klickt).

    Wir  konnten zudem feststellen, dass via E-Mail auch Dropper und Downloader verbreitet werden können, die RCS installieren. Die unterschiedlich benannten Schaddateien haben die Erweiterungen RAR, ZIP und EXE.

    • PPT.rar
    • FlashUpdate.exe
    • Setup.exe
    • Crack.exe
    • Photos.zip
    • GoogleUpdate.rar
    • Microsoft.exe
    • Install.rar
    • Wrar.exe
    • Important.rar

    Liste der Dateien, die das Installationsprogramm von RCS enthalten

    Darüber hinaus entdeckten die Analysten auch Dateien, die RCS herunterladen. Diese zuvor unbekannte Sicherheitslücke erhielt die Bezeichnung CVE-2013-0633. Die Art und Weise, auf die diese Sicherheitslücke ausgenutzt wird, ist typisch für zielgerichtete Attacken: Der Anwender erhält eine elektronische Mitteilung mit einem angehängten Word-Dokument, das ein 0-Day-Exploit enthält, in diesem Fall für Flash. Dieses Exploit beschreibt Adobe zum Beispiel hier.

    Das Word-Dokument, das nach Bereitstellung des Exploits für CVE-2013-0633 geöffnet wird und dessen Inhalt RCS installiert

    Exploits

    Die aktive Suche nach Exploits, die RCS auf Computern installieren, begann nach der Veröffentlichung eines Artikels von Citizen Lab im Oktober 2012. Darin wurde die Verwendung eines Exploits zur Sicherheitslücke CVE-2010-3333 für die Infektion des Computers eines Menschenrechtlers in den Vereinigten Arabischen Emiraten mit dem Programm RCS beschrieben. Aktuell sieht die Liste der Sicherheitslücken, die von den entdeckten Exploits ausgenutzt werden, folgendermaßen aus:

    • CVE-2010-3333
    • CVE-2012-1682
    • CVE-2012-4167
    • CVE-2012-5054
    • CVE-2013-0633

    Dabei muss darauf hingewiesen werden, dass vier der oben aufgeführten Sicherheitslücken im Laufe mehrerer Monate unerkannt blieben. Dementsprechend konnten die dazugehörigen Exploits innerhalb dieses Zeitraums ungehindert in praktisch jeden Computer eindringen.

    Wir gehen davon aus, dass es derzeit noch einige Sicherheitslücken mehr gibt, die zur Installation von RCS ausgenutzt werden können. Allerdings funktionieren die Server, von denen aus der verborgene Download der ausführbaren Dateien mit Hilfe von Exploits durchgeführt wird, jeweils nur für kurze Zeit, und es ist bisher nicht möglich zu beweisen, dass diese Exploits ausgerechnet RCS installieren.

    Uns gelang es, den Download von RCS von folgenden Adressen eindeutig festzustellen:

    106.187.**.51 2.228.65.***
    112.***.65.110 50.7.***.220
    173.255.215.** 50.116.***.11
    Update*******.info 17******.com
    176.**.100.37 56****.members.linode.com
    176.74.1**.119 76.***.33.13
    178.**.166.117 A*****.com
    178.**.176.69 A***.com
    183.98.1**.152 ****b.5gbfree.com
    184.107.2**.78 li56*****.members.linode.com
    Fira******.com *****update.selfip.com
    187.***.43.35 Clos*****.com
    198.58.**.113 Fad****.com
    200.67.***.2 wiki-****.com
    Tmx****.com wiki-*****.info
    200.**.245.36

    Morgan Marquis-Boire hat in der bereits erwähnten Veröffentlichung auf Citizen Lab die Vermutung geäußert, dass bei der Verbreitung der Produkte von HackingTeam Exploits des französischen Unternehmens Vupen zum Einsatz kommen. Dieses Unternehmen ist auf die Suche nach Sicherheitslücken in populärer Software und auf den Verkauf von einsatzbereiten Exploits an Regierungen verschiedener Länder spezialisiert. Allerdings ist bisher nicht bekannt, ob die Exploits von Vupen zusammen mit den Programmen von HackingTeam verkauft werden, oder ob die Kunden beider Unternehmen diese Programme selbst zusammenstellen und sie dann für die Beobachtung von Verdächtigen einsetzen.

    Besonderheiten bei der Ausführung

    Die Analyse der spezifischen Funktionen von RCS förderte einige formale Kriterien zutage, die es ermöglichen, die eine oder andere Datei den Produkten von HackingTeam und insbesondere RCS zuzuordnen

    1. Verwendung von Debugging-Mechanismen während der Ausführung des Programms.
      Während der Ausführung des Programms kann sein PID überprüft und eine Mitteilung über seine Arbeit ausgegeben werden.

    Beispiel für die Überprüfung des PID bei der Erstinstallation von RCS

    1. Verwendung einer AES-verschlüsselten POST-Anfrage mit dem User-Agent „Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)“.
    2. Verwendung von Signaturen ausführbarer Dateien zur Umgehung des auf den Computern installierten Schutzsystems.

    Beispiel eins: Signatur einer RCS-Komponente

    Beispiel zwei: Signaturen von RCS

    Beispiel drei: Signaturen von RCS-Komponenten

    Die Signaturen von RCS-Komponenten in den Beispielen eins und zwei sind auf natürliche Personen ausgestellt. Im letzten Beispiel wurde das Zertifikat im Gegensatz zu den ersten beiden auf den Namen einer Organisation ausgegeben. Der Name dieser Organisation lautet OPM Security Corporation.

    OPM Security

    Das Unternehmen OPM Security ist in Panama registriert und auf seiner Webseite (www.opmsecurity.com) ist zu sehen, dass OPM Security unter anderem ein Software-Produkt mit dem Namen „Power Spy“ anbietet, dessen Beschreibung mit der Beschreibung von RCS absolut übereinstimmt.

    Beschreibung des Programms „Power Spy“ auf der Webseite von OPM Security
    http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

    Das gibt Grund zur Annahme, dass OPM Security möglicherweise eine alte oder eine Piraten-Version von RCS verkauft. Dabei wird an jedermann verkauft – für insgesamt 200 Euro, obwohl HackingTeam unterschiedlichen Quellen zufolge durchschnittlich etwa 600.000 Euro verlangt.

    Bemerkenswert ist zudem, dass OPM Security ein Teil der OPM Corporation ist, die verschiedene Dienstleistungen wie etwa die Registrierung von Unternehmen in Offshore-Finanzplätzen oder die Ausstellung eines zweiten Passes anbietet.

    Beschreibung des Tätigkeitsbereichs der OPM Corporation, veröffentlicht auf der Webseite www.taxhavens.us

    Infektionsstatistik

    Unten stehende Karte wurde auf der Grundlage von Daten des Kaspersky Security Network (KSN) erstellt und zeigt die Zahl der Installationsversuche von RCS-Komponenten auf Computern der KSN-Teilnehmer in verschiedenen Ländern seit Anfang 2012.

    Da RCS über eine multimodulare Struktur verfügt, wurden bei der Erstellung der Karte die Daten zu den Detektionen der folgenden Schadprogramme zusammengefasst (Namen nach Klassifikation):

    • Backdoor.OSX.Morcut
    • Rootkit.OSX.Morcut
    • Trojan.OSX.Morcut
    • Backdoor.Win32.Korablin
    • Backdoor.Win64.Korablin
    • Rootkit.Win32.Korablin
    • Rootkit.Win64.Korablin
    • Trojan.Multi.Korablin
    • Trojan-Dropper.Win32.Korablin
    • Trojan-PSW.Win32.Agent.acnn

    Wurde ein Computer mehrfach angegriffen, sind die Daten nach Anzahl der Detektionen zusammengefasst.

    Gesamtzahl der registrierten Installationsversuche von RCS auf den Computern der Nutzer von Kaspersky-Lab-Produkten in verschiedenen Ländern der Welt, Januar 2012 bis Februar 2013

    Wir verfügen ausschließlich über Informationen über Infektionsversuche von denjenigen Anwendern, die ihre Zustimmung zur Teilnahme am Kaspersky Security Network gegeben haben. Unter Berücksichtigung der Besonderheiten und dem zielgerichteten Charakter der RCS-Attacken kann es nicht viele solcher Anwender geben.

    Es ist möglich, die Interessensschwerpunkte der Angreifer zu beurteilen, indem man die Anzahl der Infektionsversuche auf einem angegriffenen Computer in jedem einzelnen Land vergleicht. Nach diesem Wert sind Tadschikistan und Indien führend – in jedem dieser Länder wurde genau je ein Computer angegriffen, auf dem recht hartnäckig versucht wurde, RCS zu installieren, nämlich 21- respektive 20-mal.

    Äußerst aktiv wird RCS in Mexiko eingesetzt, wo auf jeden der 11 angegriffenen Computer 14,5 Infektionsversuche entfielen. Die meisten Rechner wurden in Italien angegriffen, nämlich 19, wobei auf jeden Computer 6,5 abgewehrte Attacken kommen.

    Land Anzahl individueller KSN-Teilnehmer Anzahl der Attacken Anzahl der Attacken auf einen Rechner
    Mexiko 11 159 14.5
    Italien 19 123 6.5
    Vietnam 10 88 8.8
    Vereinigte Arabische Emirate 9 77 8.6
    Irak 5 42 8.4
    Libanon 2 29 14.5
    Marokko 4 27 6.8
    Panama 4 23 5.8
    Tadschikistan 1 21 21.0
    Indien 1 20 20
    Iran 2 19 9.5
    Saudi-Arabien 3 19 6.3
    Südkorea 5 18 3.6
    Spanien 4 18 4.5
    Polen 6 16 2.7
    Türkei 5 12 2.4
    Argentinien 2 12 6.0
    Kanada 1 8 8.0
    Mali 1 8 8.0
    Oman 1 8 8.0
    China 3 8 2.7
    USA 4 6 1.5
    Kasachstan 2 5 2.5
    Ägypten 1 5 5.0
    Ukraine 1 5 5.0
    Usbekistan 1 5 5.0
    Kolumbien 1 4 4.0
    Taiwan 3 4 1.3
    Brasilien 2 4 2.0
    Russland 2 4 2.0
    Kirgisien 2 3 1.5
    Großbritannien 1 3 3.0
    Bahrain 1 2 2.0
    Äthiopien 1 1 1.0
    Indonesien 1 1 1.0
    Deutschland 1 1 1.0
    Libanon 1 1 1.0


    Installationsversuche von RCS auf den Computern der KSN-Teilnehmer in verschiedenen Ländern der Welt, Januar 2012 bis Februar 2013

    Dabei wurden etwas weniger als zehn Vorfälle auf Workstations in Regierungseinrichtungen, Industrieunternehmen, Rechtsanwaltskanzleien und Massenmedien registriert.

    Fazit

    In den letzten Jahren gab es in der IT-Welt bedeutsame Veränderungen, die erst seit kurzem einer breiteren Öffentlichkeit bekannt sind: Es wurden Programme entdeckt, die als Cyberwaffe und Mittel zur Cyberspionage verwendet wurden.

    Zudem erschienen private Unternehmen auf der Bildfläche, die – laut Informationen auf ihren offiziellen Webseiten – Programme zum Sammeln von Daten auf Computern entwickeln und sie Strafverfolgungsorganen zum Kauf anbieten. Länder, die nicht über die entsprechenden technischen Möglichkeiten verfügen, können Programme mit derartiger Funktionalität von Privatunternehmen erwerben. Obwohl die Gesetzgebung vieler Länder die Entwicklung und Verbreitung von Schadprogrammen verbietet, werden Spionageprogramme angeboten, praktisch ohne ihre Funktionen auf irgendeine Weise zu tarnen.

    Bisher gibt es nur wenige solcher Unternehmen, und dieser Markt ist fast konkurrenzlos, was wiederum günstige Bedingungen für das Auftreten neuer Mitbewerber und den Beginn eines technologischen Wettrennens zwischen diesen schafft. Dabei tragen die Unternehmen nach unseren Informationen keine Verantwortung für das weitere Schicksal der von ihnen entwickelten Programme, die zur Beobachtung, in der zwischenstaatlichen Spionage oder ganz traditionell für gewöhnliche cyberkriminelle Zwecke – sprich Bereicherung – eingesetzt werden können.

    Die Situation wird dadurch verschärft, dass diese Programme möglicherweise auch auf dem offenen Markt auftauchen und beispielsweise an Briefkastenfirmen weiterverkauft werden könnten – an wen und wann immer es beliebt.

    Links

    1. Werbebroschüre über RCS: http://www.hackingteam.it/images/stories/RCS2012.pdf
    2. Artikel über die Ermittlungen zu RCS, durchgeführt von CitizenLab: https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/
    3. DBeschreibung des Tätigkeitsfeldes des Unternehmens Vupen: http://www.vupen.com/english/company.php
    4. Eintrag im Adobe-Blog über die Entdeckung einer unbekannten Sicherheitslücke: http://blogs.adobe.com/psirt/2013/02/security-updates-available-for-adobe-flash-player-apsb13-04.html
    5. Dokumente von HackingTeam, veröffentlicht auf der Website von WikiLeaks: http://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf
    6. Beschreibung des Programms PowerSpy von OPM Security: http://www.opmsecurity.com/security-tools/spying-on-on-your-husband-wife-children-or-employees.html

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.