Avslørte hemmelig «stats-trojaner»

- Alle kan avlytte de infiserte pc-ene, advarer Chaos Computer Club.


Chaos Computer Club (CCC) kunngjorde i helgen at de har avslørt en hemmelig stats-trojaner, altså et stykke statsfinansert skadevare.

Å plante trojansk programvare på mistenktes pc-er for å tappe opplysninger, har i flere år vært et av tvangsmidlene tysk politi har fått lov til å bruke.

Bundestrojaner
Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) eller teleovervåkning ved kilden (mer populært kalt «bundestrojaner») er en kontroversiell metode.

Det uttalte målet har vært å handskes med kryptert IP-telefonisamband generelt, og kriminelles bruk av Skype spesielt.

Selv om den tyske forfatningsdomstolen i 2008 la ned forbud mot bruk av skadevare for å manipulere innbyggernes datamaskiner, åpnet Tysklands regjering likevel for bruk av denne spionprogramvaren, men kun etter rettsavgjørelse om telefonavlytting.

Den anerkjente hackergruppen skal ha avdekket en rekke urovekkende egenskaper etter å ha dekompilert programmet med såkalt reverse engineering.

- Ikke bare kan trojaneren tappe sensitive data med avlytting av IP-telefoni, tastatur, skjermbilder, datamaskinens mikrofon og webkamera. Den har også fjernadministrasjon eller en bakdør for opplasting og kjøring av vilkårlige andre programmer, hevdet CCC lørdag i en pressemelding. (Funnet er nærmere analysert i en rapport på tysk (pdf, 20 sider)

Dette er stikk i strid med forfatningsdomstolens krav om en klar teknisk avgrensning til avlytting av IP-basert telefoni.

- Våre analyser avdekker nok en gang at politiet går utover sin myndighet hvis de ikke følges nøye. I dette tilfellet er funksjoner som åpenbart er ment for å bryte loven bevisst implementert i skadevaren, sier en talsperson i gruppen, som ble etablert allerede i 1981.

Elendig håndverk
I tillegg skal hackergruppen ha oppdaget at trojaneren er blottet for sikkerhetsmekanismer, og at hvem som helst kan misbruke infiserte maskiner.

- Selv om skjermbilder og lydopptak den sender er kryptert, så er det gjort på en inkompetent måte. Kommandomeldinger og -svar brukt for å styre trojaneren sendes i klartekst og helt uten noen form for autentisering, skriver de.

Dermed kan en hvilken som helst tredjepart få full kontroll over smittede datamaskiner. Selv angripere med middelmådige kunnskaper kan koble seg til myndighetene, og på den måte laste opp falske data, mener gruppen.

Videre uttrykker de bekymring for at dataene som tappes blir sendt via servere i utlandet.

- For å unngå å avsløre hvor kommando- og kontrollserverne befinner seg, blir alle data videresendt gjennom dedikert serverkapasitet som er leid inn ved et datasenter i USA, hevder Chaos Computer Club i sin pressemelding.

Ekspertene advarer
IT-sikkerhetsselskapene Sophos og F-Secure advarte søndag begge mot den avdekkede trojaneren, som er døpt henholdvis «RD2D» eller «0zapftis»

Trojaneren inkluderer en tastaturlogger som overvåker blant annet Firefox, Skype, MSN Messenger, ICQ og andre, skriver F-Secures sjefsforsker Mikko Hypponen i et blogginnlegg.

Han sier de ikke har grunn til å tvile på CCCs funn, men kan ikke bekrefte at trojaneren er utviklet av tyske myndigheter.

- Etter vårt syn er det bare tyske myndigheter selv som kan bekrefte det.

En talsmann for den tyske regjeringen avviser i et Twitter-innlegg at det tyske forbundspolitiet (BKA) står bak.

- Den tyske kanslerens pressesekretær avviser at R2D2-trojaneren er brukt av BKA. Men kanskje av andre etater?, svarer Mikko Hypponen i et eget innlegg.


Les mer om: avlytting, tyskland, sikkerhet, hacker

Diskutér denne artikkelen