Wie «Phineas Phisher» den Zürcher Staatstrojaner entlarvte

Ein Hacker mit dem Pseudonym «Phineas Phisher» erklärt in einem Forum, wie er Daten von den Servern der Firma «Hacking Team» kopierte. Der Angriff sei politisch motiviert. Das Vorgehen bezeichnet er als «ethisches Hacken».

Portrait eines Mannes im Halbdunkel

Bildlegende: Hacking Team Mit diesem Bild und dem Text «Verlassen Sie sich auf uns» wirbt die italienische Firma auf ihrer Homepage. Hacking Team Webseite

Hinter der Bezeichnung «Hacking Team» steckt nicht eine Gruppe von Hackern, sondern eine italienische IT-Firma. Das Unternehmen mit Sitz in Mailand ist allerdings kein gewöhnliches Unternehmen: Die Firma entwickelt Software zum Abhören von Computern, sogenannte Staatstrojaner, und verkauft diese an Behörden auf der ganzen Welt.

Die Kapo Zürich hört Computer ab

Im Juli 2015 wurde die italienische Firma Zielscheibe eines erfolgreichen Hacker-Angriffes. Der Täter kopierte mehr als 400 Gigabyte an Firmen-Daten und veröffentlichte diese auf WikiLeaks, darunter auch tausende E-Mails.

Auf diese Weise gelangte die Korrespondenz zwischen der italienischen Wanzen-Schmiede und der Zürcher Kantonspolizei an die Öffentlichkeit. Das sorgte für Schlagzeilen, denn nun war klar: Die Kapo Zürich arbeitet mit Software zur Überwachung von Computern.

Nun hat sich ein angeblicher Hacker unter dem Pseudonym «Phineas Phisher» zu Wort gemeldet und erklärt, warum er den Angriff auf die Firma «Hacking Team» durchführte und wie er dabei vorging.

Ethisches Hacken gegen die Überwachung

Ob sich hinter dem Pseudonym tatsächlich nur eine Person versteckt, ist nicht geklärt. Es liegen auch keine eindeutigen Beweise vor, dass «Phineas» die italienische IT-Firma tatsächlich gehackt hat. Die Art und Weise, wie er darüber berichtet, lässt ihn bei Spezialisten aber als glaubwürdig erscheinen.

Auch das Motiv scheint plausibel: Nach Ansicht von «Phineas Phisher» trägt die Firma «Hacking Team» mit ihren Produkten wesentlich zur Überwachungsgesellschaft bei. Den CEO der Firma, Davide Vincenzetti, verunglimpft er als Faschisten, seinen Angriff sieht er deshalb als «ethisches Hacken».

«Phineas» ruft andere dazu auf, sich ebenfalls Fähigkeiten zum Hacken anzueignen, denn das ist für ihn ein mächtiges Werkzeug im Kampf gegen die Unterdrückung: Durch Hacken bekomme der Underdog die Chance, zu kämpfen und zu gewinnen. «Mit hundert Stunden Arbeit kann ein Hacker jahrelange Arbeit einer Millionen-Firma vernichten», schreibt «Phineas».

Suche nach Schwachstellen

Damit ihm möglichst viele folgen können, legt er auch gleich offen, wie er beim Angriff vorgegangen ist. Den Angestellten der italienischen Firma ein E-Mail mit einem getürkten Link unterzujubeln, eine sogenannte Phishing-Attacke, hat er schnell verworfen. Die Firma «Hacking Team» arbeitet selber mit dieser Methode. Die Gefahr, dass die Mitarbeiter einen Angriff als solchen erkennen, war deshalb gross.

«Phineas» hat sich deshalb die IT-Infrastruktur seines Opfers vorgeknöpft und diese nach Schwachstellen abgeklopft. Bei verschiedenen Systemen wurde er fündig: Bei Routern, bei einer Datenbank (MongoDB) und beim Massenspeicher (NAS). In dem er diese Schwachstellen gezielt ausnützte, gelangte er ins Netzwerk, an die Passwörter der Administratoren und schliesslich an die Daten.

Der Sicherheitsexperte Dan Tentler ist beeindruckt von diesem Angriff: Dass ein Hacker alleine über alle dazu notwendigen Fähigkeiten verfüge, sei selten, so der CEO der Phobos Group in einem Interview mit dem Online-Magazin Ars Technica.

Es ist deshalb gut möglich, dass sich hinter dem Pseudonym «Phineas» eine ganze Gruppe von Hackern versteckt. Das würde auch erklären, warum die Angreifer bloss 100 Stunden benötigten, um in das System einzudringen. Eines ist klar: Hier waren einer oder mehrere erfahrene Profis am Werk. «Phineas» dürfte deshalb nicht so schnell Nachahmer finden, die über ähnliche Fähigkeiten verfügen.