Britse politie doet mogelijk onderzoek naar monitoren activisten met FinFisher

De Britse politie gaat mogelijk onderzoek doen naar claims die suggereren dat computers en telefoons van Bahreinse activisten in het Verenigd Koninkrijk illegaal werden gemonitord met de omstreden FinFisher-malware. Een verzoek daartoe werd maandag ingediend.

De burgerrechtenorganisatie Privacy International diende het verzoek in bij de Britse politie, zo meldt The Guardian. Volgens de krant gaat de afdeling die zich bezighoudt met het bestrijden van cybercrime zich in de zaak vastbijten zodra de politie met het verzoek aan de slag gaat.

De claims die aan het verzoek ten grondslag liggen, komen van drie Bahreinse activisten die in het Verenigd Koninkrijk verblijven nadat ze in eigen land zouden zijn gestraft en gemarteld. De activisten beweren dat hun computers en telefoons een tijd door de Bahreinse overheid werden gemonitord met de FinFisher-malware. Die malware stelt kwaadwillenden in staat de controle van een computer over te nemen. De software zou onder andere documenten kunnen kopiëren en microfoons op afstand kunnen aanzetten.

Een van de activisten zegt tegen The Guardian dat hij eens op zijn computer zag dat iemand de controle over de machine had overgenomen. "Een keer opende ik mijn Facebookpagina en zag ik dat iemand op mijn pagina aan het schrijven was. Later zag ik dat het bericht was verwijderd", zo vertelt hij. Ook kreeg de man, die it-specialist is, naar eigen zeggen notificaties van Gmail waarin stond dat iemand probeerde in te breken op zijn account.

De omstreden FinFisher-malware was begin augustus in het nieuws toen naar buiten kwam dat de inhoud van een server van het softwarebedrijf achter de spionagesoftware, het Brits-Duitse Gamma International, was buitgemaakt en via BitTorrent werd verspreid. FinFisher en Gamma International zijn omstreden, omdat de malware ook zou zijn verkocht aan regeringen die zich op grote schaal schuldig maken aan mensenrechtenschendingen.

Uit documenten in augustus bleek onder meer dat FinFisher voornamelijk werd gebruikt voor het bespioneren van inwoners van Bahrein, het Verenigd Koninkrijk en tenminste nog vier landen. Ook de Nederlandse politie gebruikte de malware mogelijk. Nieuw onderzoek wijst erop dat de FinFisher-malware in 35 landen is gebruikt, zo weet The Guardian. Zowel Gamma als de ambassade van Bahrein wilde tegenover de Britse krant niet reageren.

FinFisher gebruikt onder meer social engineering om doelwitten ertoe te verleiden malware te installeren, maar ook beveiligingsproblemen in software worden gebruikt om de malware ongemerkt te installeren. Dat gebeurde onder meer met een beveiligingsprobleem in iTunes. Eenmaal geïnstalleerd maakt de malware het mogelijk om de gebruiker van de computer in de gaten te houden.

Reacties (19)

CMD-Snake 13 oktober 2014 18:11

Ik vraag me af of FinFisher herkent wordt door antivirus pakketten.

Je zou als activist gezien je toch weet dat je aandacht geniet hier maatregelen kunnen nemen. Gebruik virtuele machines die je na gebruik weer in oude staat terug zet. Infectie is dan weg (als je weet dat je snapshot schoon is.) Ze kunnen ook eventueel overwegen Linux te draaien, daar zal FinFisher het mogelijk niet op doen.

the-dark-force @CMD-Snake • 13 oktober 2014 18:58

live cd/dvd lijkt me beter, sowieso read only. (niet je hdd mounten

)
maar uiteindelijk is het een kwestie van budget/wilskracht/kennis.
je kan ook randapparatuur infecteren en vanuit daar systemen infecteren.
dus de live cd krijgt malware binnen, malware nesteld zich in je voip telefoon of printer en infecteerd vervolgens alles wat ermee in aanraking komt.

virtuele machines zijn handig maar 1 bug in vmware of virtualbox en je hebt alleen het idee van veiligheid.
daarnaast is linux niet onkwetsbaar, zie het bashbug verhaal of de hoeveelheid bedrijven die geroot worden.
(zelfs door scriptkiddy's)

finfisher is speelgoed en maar een klein voorbeeld van wat er mogelijk is en volgens mij heeft een gemiddelde malware boer dezelfde mogelijkheden voor een lagere aanschafprijs.

wica @the-dark-force • 13 oktober 2014 19:38

Uhh, ook een live CD is niet geheel readonly, /dev/shm ? Daarnaast zijn de meeste live CD niet eens geupdate met de laatste security patches. Zoals de bashbug. Of hebben mensen hem simpel weg nog niet geupdate door een nieuwe iso te downloaden.

ubuntu-14.04-desktop-amd64.iso 17-Apr-2014 01:35 964M

http://releases.ubuntu.com/14.04.1/

Ja, je desktop zou in theorie, ingevaar zijn, tijdens de installatie.

the-dark-force @wica • 13 oktober 2014 20:05

Die folder die je aanhaalt in niet interesant, de data word immers niet naar de dvd/cd geschreven (dit is volgens mij ook niet mogelijk tenzij het een dvd-rw is waarbij rw voor rewritable staat) en is daardoor van tijdelijke aard een snelle copy paste hieronder in het schuin met uitleg over de folder die je aanhaalde.
Uiteraard heb je met een verouderde live cd niet de nieuwste patches,
Ubuntu zou ik sowieso niet gauw nemen met het hele amazon-shopping lens gebeuren
Tails komt al heel gauw in me op omdat die op privacy gericht is ondanks het feit dat mint toch mijn favoriet is maar er zijn zat distro's en elke distro heeft wel een handleiding om een custom iso te maken mocht je bepaalde opties of instellingen willen vastleggen (van iptables tot de geïnstalleerde software)

Wat bedoel je eigenlijk met die laatste zin ?
In mijn "oplossing" word er niet gerept over installatie, bedoel je daarmee de updates ?
Maar dan houd je een pc toch standaard offline tot de installatie voltooid is en de security updates/instellingen toegepast zijn ?

/dev/shm is nothing but implementation of traditional shared memory concept. It is an efficient means of passing data between programs. One program will create a memory portion, which other processes (if permitted) can access. This will result into speeding up things on Linux.

shm / shmfs is also known as tmpfs, which is a common name for a temporary file storage facility on many Unix-like operating systems. It is intended to appear as a mounted file system, but one which uses virtual memory instead of a persistent storage device.

If you type the mount command you will see /dev/shm as a tempfs file system. Therefore, it is a file system, which keeps all files in virtual memory. Everything in tmpfs is temporary in the sense that no files will be created on your hard drive. If you unmount a tmpfs instance, everything stored therein is lost. By default almost all Linux distros configured to use /dev/shm

wica @the-dark-force • 13 oktober 2014 20:52

De folder is opzich interesant, omdat het aangeeft dat liveCD niet regelmatig geupdate worden en vatbaar is, voor geinfecteerde randapparatuur. Zoals jij zelf al aanhaalt.

live cd/dvd lijkt me beter, sowieso read only. (niet je hdd mounten )

Hier geef je de indruk, dat het draaiende systeem veilig is, omdat er niet naar een medium geschreven kan worden.
Ik wild aangeven dat o.a. /dev/shm en andere tmpfs wel beschrijfbaar zijn. Al is het alleen maar tijdens je sessie. Maar ook je HDD kan beschreven worden, als je live CD geïnfecteerd is.
De theorie is, dat zelfs bepaalde firmwares te beschrijven zijn, voor oneigelijk gebruik.

Die laatste zin, was niet direct voor jouw bedoelt.

the-dark-force @wica • 13 oktober 2014 21:13

het was ook meer bedoelt als een "beter alternatief" als een virtuele machine omdat je dus geen host hebt waar de malware naartoe kan verspreiden en dus een vals gevoel van veiligheid hebt.
Maar uiteindelijk geef ik mezelf daardoor ook een vals gevoel van veiligheid door te vergeten dat mijn randapparatuur al geïnfecteerd kan zijn en dat is wel persistent

Bedankt voor je reactie, Ik draag zelf randapperatuur aan als aanvalsvector om het vervolgens te vergeten op het moment dat het ertoe doet

maar je hebt gelijk door de hdd aangesloten te houden is er nog altijd een hack mogelijk zoals die van sprite (ik ga ervanuit dat je die bedoeld)
Ik had het artikel gelezen, in dat geval kan elk onderdeel een backdoor bevatten en kun je je systeem beter bij het grofvuil neerzetten.
kliktip+ random quotes de backdoors zijn al een tijdje in de handel...:
"IRATEMONK: Technology that can infiltrate the firmware of hard drives manufactured by Maxtor, Samsung, Seagate, and Western Digital."
"DEITYBOUNCE: Technology that installs a backdoor software implant on Dell PowerEdge servers via the motherboard BIOS and RAID controller(s)"

Die laatste zin, was niet direct voor jouw bedoelt.
Ok

Diamondo25

@CMD-Snake • 13 oktober 2014 19:12

Het mooie is dat Gamma zelf hier een excel sheetje voor had gemaakt, met een hele lijst van antivirii en detectie: http://1drv.ms/1qUmTyO

Verwijderd 13 oktober 2014 18:24

Het is niet voor niets dat grote demonstraties zoals die bijv in de jaren 80 tegen regeringsbeleid werden georganiseerd nu niet meer voorkomen.

Met het tappen van alle communicatie kunnen demonstraties al in een vroeg stadium door de overheid worden verijdeld.

Men staat toe dat Klagende burgers hun grieven kunnen uiten maar zodra ze zich organiseren en het draagvlak onder de bevolking toeneemt grijpt de overheid in en begint men een campagne om de organisatoren en/of hun doelstelling via (sociale)media in diskrediet te brengen.

De tijd van het vrije westen ligt al lang achter ons.

Soldaatje @Verwijderd • 13 oktober 2014 18:32

Ik denk dat het meer is dat we hier in Nederland niet zoveel te klagen hebben om te gaan demonstreren.
Kijk naar Hong Kong, daar valt nog wat te winnen.
Overigens zou ik Bahrein niet als Westers land willen typeren.

the-dark-force @Soldaatje • 13 oktober 2014 19:08

Ik denk dat er zat te klagen is maar zolang mensen nog "vrijheid" hebben vinden ze het wel best.
"ach wat doe je eraan" is de reactie wanneer er weer een volksvertegenwoordiger z'n zakken vult of er weer een stukje privacy word afgestolen. Niet beseffend dat een samenleving draait op vertrouwen en dat de fundering van onze samenleving verder afbrokkelt bij elk nieuwsbericht over volksverlakkerij door onze overheid.
Landverraad stond vroeger de doodstraf op nu hebben we een wachtgeld regeling en baantjes carrousel.

wil je een idkaart of paspoort ?
Dat is je vrijheid !

HarryDeCowboy 13 oktober 2014 18:13

Ik heb bij dit soort verhalen altijd het idee dat dit het topje van de ijsberg is, als we alles zouden weten zou denk ik echt de spreekwoordelijke pleuris uitbreken.

durian @HarryDeCowboy • 13 oktober 2014 18:59

Ik heb bij dit soort verhalen altijd het idee dat dit het topje van de ijsberg is, als we alles zouden weten zou denk ik echt de spreekwoordelijke pleuris uitbreken.

Dat valt (helaas) wel mee, zie o.a de overgewaaide storm na de onthullingen van Snowden.

Thystan @durian • 14 oktober 2014 17:02

Overgewaaide storm??

https://wikileaks.org/spyfiles4/index.html

Dit nieuws is van een maand geleden. Read up

Verwijderd 13 oktober 2014 18:12

De Britse politie gaat hun eigen vermeend illegale handelen onderzoeken? De vraag is natuurlijk of ze dat wel in alle objectiviteit zullen en kunnen doen. Het blijft natuurlijk een kwestie van de slager die zijn eigen vlees keurt.

Vooral omdat het Verenigd Koninkrijk geen goede reputatie heeft op het gebied van privacy, afluisteren en vergaande surveillance, denk ik dat het heel redelijk is om sceptisch te zijn omtrent de uitslag van het rapport.

Desondanks goed dat het serieus genomen wordt. Maar beter zou zijn als het extern onderzocht zou worden, ongeveer zoals bij ons een Parlementaire enquête mogelijk is.

Bonez0r @Verwijderd • 19 oktober 2014 18:06

De Britse politie gaat hun eigen vermeend illegale handelen onderzoeken? De vraag is natuurlijk of ze dat wel in alle objectiviteit zullen en kunnen doen. Het blijft natuurlijk een kwestie van de slager die zijn eigen vlees keurt.

Dat dacht ik in eerste instantie ook, maar:

De activisten beweren dat hun computers en telefoons een tijd door de Bahreinse overheid werden gemonitord met de FinFisher-malware.

Daarnaast gebruikt de Britse overheid zelf ook de software, maar daar gaat dit nieuwsbericht niet over.

Verwijderd 13 oktober 2014 18:16

Ze kunnen ook eventueel overwegen Linux te draaien, daar zal FinFisher het mogelijk niet op doen.

Finfisher gebruikt social engineering. Vorig jaar was er oa een Firefox-versie met Finfisher-malware. In principe zou die ook geport kunnen zijn naar Linux (NB: Finfisher-software is oa beschikbaar voor Android).

mutley69 13 oktober 2014 21:32

Ze gaan dus zichzelf onderzoeken - zichzelf witwassen - mooi zo!

Don Kedero 14 oktober 2014 08:10

Een stukje over FinFisher:
To Protect And Infect - The militarization of the Internet [30c3]
https://www.youtube.com/watch?v=sW-N7qQU-tA

Thystan 14 oktober 2014 17:03

Voor meer informatie mbt deze software wil ik verwijzen naar de wikileaks site met de meest recente bestanden (maand geleden):
https://wikileaks.org/spyfiles4/index.html

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (19)

Sorteer op:

Weergave: