Bundestrojaner: Niemcy mają swojego trojana i nie wahają się go używać

24 sierpnia, 2018

Niemiecka organizacja zajmującą się prywatnością (Digitalcourage) i stowarzyszenie non-profit broniące praw wolności i podstawowych praw człowieka (Gesellschaft für Freiheitsrechte), a także czwarta siła polityczna w Niemczech, partia FDP (Freie Demokratische Partei), złożyły konstytucyjny pozew, który został podparty 150-stronnicową analizą przeciwko próbom inwigilowania obywateli przy użyciu cyfrowych środków trojana Bundestrojaner.

Staatstrojaner Bundestrojaner

Niemiecki rząd jest posądzany o wykorzystywanie szkodliwego oprogramowania służącego do szpiegowania. Chociaż prawo w Niemczech dopuszcza używanie technologicznych środków do inwigilowania podejrzanych (od 2008 roku), to analiza trojana wykazała, że jego kod był tak miernej jakości, że stwarzał poważne zagrożenie zarówno dla ofiary, jak i policji oraz tajnych służb, które z niego korzystają — i przy okazji łamał inne prawa stojące na straży ochrony danych.

Producentem trojana są pracownicy firmy Digitask, których dzieło „Bundestrojaner / Staatstrojaner / 0zapftis” zostało przeanalizowane w 2011 roku przez hakerów z grupy Chaos Computer Club (CCC). Poddany inżynierii wstecznej i przeanalizowany szkodliwy program jest wykorzystywany przez Federalną Policję Kryminalną (BKA, niem. Bundeskriminalamt). Niemiecki rząd oficjalnie przyznaje się do stosowania tego narzędzia.

20-stronnicowy raport CCC zawiera analizę biblioteki DLL backdoora (c:windowssystem32mfc42ul.dll) i sterownika jądra (winsys32.sys). Podobno grupa CCC nie uzyskała dostępu do instalatora trojana, ale udało się to firmie F-Secure (plik otrzymali z VirusTotal, który współpracuje z producentami antywirusów, dzieląc się próbkami).

Plik instalatora nazywa się „scuinst.exe”. Jest to skrót od Skype Capture Unit Installer — modułu do przechwytywania komunikacji przez Skype. Dzięki ekspertom stojącym na straży prywatności z fińskiej firmy antywirusowej F-Secure (zobacz naszą relację z wizyty w Centrum Bezpieczeństwa F-Secure) wiemy, że trojan jest używany do instalowania backdoora i zawiera funkcjonalność keyloggera (przechwytuje naciskane klawisze na klawiaturze). Szkodliwe oprogramowanie skutecznie szpiegowało użytkowników aplikacji Firefox, Skype, MSN Messenger, ICQ i innych. Backdoor posiada również kod przeznaczony do wykonywania zrzutów ekranu i nagrywania dźwięku, w tym nagrywania rozmów z komunikatora Skype. Backdoor łączył się z serwerem o adresie IP 83.236.140.90 w Niemczech poprzez proxy 207.158.22.134 w USA, co łamało niemiecką ustawę o ochronie danych.

Aktualnie trojan jest wykrywany chyba przez wszystkie rozwiązania ochronne jako „R2D2” — nazwa pochodzi od zahardkodowanego ciągu (C3PO-r2d2-POE) inicjującego transmisję danych.

r2d2 trojan

Pierwsze sumy kontrolne trojana z 2011 roku:

930712416770A8D5E6951F3E38548691
D6791F5AA6239D143A22B2A15F627E72

Przetestowane próbki dostarczają niezwykle istotnych danych: funkcje szkodliwego oprogramowania były/są dostosowywane do zapotrzebowania służb, w tym większość wersji trojana ma możliwość zdalnego dostępu i uruchamiania innego złośliwego oprogramowania.

Więcej szczegółów prosto od firmy DigiTask zawiera dokument z WikiLeaks „Bavarian trojan for non-germans”, opisujący funkcjonalność trojana oraz koszty np. za wypożyczenie serwerów proxy w USA (3500 euro), podsłuchiwanie Skype (2500 euro), dekodowanie SSL (2500 euro), czy jednorazową instalację bądź deinstalację trojana (2500 euro). Trzeba tu dodać, że usługi na oprogramowanie „Skype Capture Unit” zostały wkupione na kwotę 2,075,256 euro przez niemieckie urzędy celne.

Techniczne informacje o trojanie zawiera ta prezentacje wideo: https://media.ccc.de/v/pw17-114-bundestrojaner_-_systematische_zerstorung_der_informationssicherheit#t=1385

Bundestrojaner in the wild

Rzecznik odpowiednika naszego Ministerstwa Finansów przyznał się, że celnicy w 2010 roku używali Bundestrojanera w 16 przypadkach. Oprogramowanie zostało indywidualnie dostosowane do systemu podejrzanych osób. Według jednego z prawników broniących osób, które wniosły pozew przeciwko niemieckiemu rządowi, trojan był instalowany przez organy celne podczas kontroli na lotnisku w Monachium. W ten sposób doprowadzono do oskarżenia przestępcę, który był podejrzany o handel narkotykami. Dzięki trojanowi do akt dochodzenia udało się dołączyć 60000 zrzutów ekranu.

Z trojana korzysta/ła też Federalna Policja Kryminalna Niemiec (BKA, niem. Bundeskriminalamt) — jeden z wariantów trojana R2D2 zapisywał zrzuty ekranowe programu pocztowego przed zaszyfrowaniem maila lub po jego odszyfrowaniu. Protokół PGP na taką okoliczność nie był w stanie zabezpieczyć informacji przed kradzieżą.

Udało nam się dotrzeć do statystyk niemieckiego dostawcy antywirusów. Firma Avira twierdzi, że w 2016 roku ich programy zabezpieczające wykryły 40000 próbek trojana.

Zapytaliśmy też polskiego producenta (firmę Arcabit), czy na komputerach chronionych ich oprogramowaniem wykryto do tej pory Bundestrojanera. Na razie użytkownicy mogą czuć się bezpiecznie, dopóki przebywają na terytorium Polski.

O liczbę infekcji rządowym złośliwym oprogramowaniem zapytaliśmy kilka innych firm. Jak tylko otrzymamy odpowiedzi, zaktualizujemy artykuł.

Potencjalnych ofiar trojana może być znacznie więcej. Obecnie naród niemiecki liczy około 82 milionów mieszkańców, natomiast zebrane statystyki wykrycia próbek trojana pochodzą z urządzeń, na których zainstalowane jest oprogramowanie zabezpieczające producenta Avira. Liczba osób inwigilowanych może być znacznie, znacznie większa.

Staatstrojaner

Przeciwko rządowi niemieckiemu wpłynęły pierwsze oskarżenia, a pod petycją przeciwko rządowemu hackowaniu podpisało się ponad 10 000 osób.

Powodem oskarżenia są nie tylko kwestie bezpieczeństwa, ale także ochrona danych i prywatność jednostki. Zaledwie rok temu Bundestrojaner mógł być używany tylko w skrajnych przypadkach, na przykład, jeśli ktoś był podejrzany o działalność terrorystyczną. Teraz praktycznie każdy, kto jest podejrzany o popełnienie przestępstwa, jak na przykład handel narkotykami lub fałszowanie pieniędzy, może paść ofiarą rządowego złośliwego oprogramowania. Służbom zarzuca się zbyt pochopne wykorzystywanie Bundestrojaner.

Digitalcourage i Gesellschaft für Freiheitsrechte chociaż działają w jednej sprawie, mają różne cele. Ta pierwsza organizacja chce, aby rządowe złośliwe oprogramowanie całkowicie zostało zakazane, podczas gdy GFF chce ograniczyć jego użycie i upewnić się, że jest używane tylko w przypadkach absolutnie koniecznych.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]