Connect with us

Datenschutz & Sicherheit

Ehemaliger FinFisher-Manager vertreibt weiter Spionagewerkzeuge


Carlos Gandini hat wieder Fuß gefasst. Wenn er den Tritt jemals verloren hat. Während der Staatstrojaner-Hersteller FinFisher, bei dem Gandini einst Geschäftsführer war, seinem unrühmlichen Ende entgegenschlitterte, setzte der Unternehmer eine weitere Firma in die Welt: den im bayerischen Pullach angesiedelten IT-Dienstleister AdSum.

Im Sommer 2020 gegründet, will AdSum laut Eigenbeschreibung die „besten Technologiepartnerschaften im Bereich Cybersicherheit“ schaffen. Dabei gehe es darum, Institutionen und erstklassige Anbieter zusammenzubringen. „AdSum unterstützt Sie dabei, Ihre Länder vor organisierter Kriminalität zu schützen“, lockt das Unternehmen potenzielle Kund:innen. Geschäftsführer der Firma ist erneut Gandini, er verspricht auch unter schwierigen Umständen operative Erfolge: „Wo ein Wille ist, ist ein Weg“.

Wie das portugiesische Wochenmagazin Expresso berichtet (€), dreht sich das Berufsleben des Unternehmers offenbar weiterhin um digitale Spionagewerkzeuge. Diesmal ist es der Staatstrojaner Predator, den Gandini an den angolanischen Geheimdienst SINSE verkauft haben soll. Expresso beruft sich dabei auf ein Dokument, das bei einer Datenpanne des Herstellerkonsortiums von Predator, Intellexa, abgeflossen ist.

Konkurrent der NSO Group

Intellexa ist ähnlich berüchtigt wie die NSO Group, deren Staatstrojaner Pegasus vor einigen Jahren für weltweite Furore sorgte. Mit den von ihnen angebotenen digitalen Überwachungs-Tools lassen sich von Nutzer:innen unbemerkt Geräte übernehmen und beliebige, selbst verschlüsselte Inhalte auslesen. Predator zielt vor allem auf iOS- und Android-Geräte, in der Regel gelingt der Angriff über sogenannte Zero-Day-Sicherheitslücken.

Das schwer überschaubare Intellexa-Konglomerat hat Ableger in zahlreichen Ländern. Hinzu kommen Tochterfirmen wie das nordmazedonische „Cytrox AD“, welches Predator herstellt. Laut der Nachrichtenseite Balkaninsight fungiert Ivo Malinkovski als CEO, als inzwischen alleiniger Besitzer ist der israelische Militärveteran Meir Shamir ausgewiesen. Über all dem steht der Intellexa-Gründer Tal Dilian, ebenfalls israelischer Ex-Militär.

Digitale Spuren von Predator fanden sich etwa auf dem Telefon des ägyptischen Oppositionspolitikers Ahmed Eltantawy, zudem ließen sich Angriffsversuche auf Geräte US-amerikanischer Politiker:innen und Journalist:innen nachweisen. Im Frühjahr 2024 belegte die damalige US-Regierung Teile des Intellexa-Konglomerats sowie mehrere damit verbundene Einzelpersonen mit Sanktionen, darunter auch Tal Dilian.

Die zunehmende Verbreitung kommerzieller Spyware stelle ein deutliches und wachsendes Sicherheitsrisiko für die Vereinigten Staaten dar, begründete die Biden-Regierung vor zwei Jahren ihren Schritt. Predator sei von ausländischen Akteuren missbraucht worden, um „Menschenrechtsverletzungen zu ermöglichen und Dissidenten weltweit zur Unterdrückung und Vergeltung ins Visier zu nehmen“. Drei der namentlich sanktionierten Personen hat die Trump-Administration im Januar indes wieder von der Liste genommen.

„Predatorgate“ in Europa

Tal Dilian zählte nicht dazu. Der musste sich zudem in Griechenland einem Prozess stellen. Dort fanden sich Hinweise darauf, dass der griechische Geheimdienst EYP Smartphones von Oppositionspolitiker:innen und regierungskritischer Journalist:innen mit Predator infiziert und überwacht hatte.

Zwar hatte der Oberste Gerichtshof in Griechenland den geheimdienstlichen Abhör-Skandal juristisch zunächst für beendet erklärt. In einem anderen Verfahren wurden jedoch kürzlich vier Angeklagte, darunter Intellexa-Chef Dilian, wegen illegaler Überwachung zu Haftstrafen verurteilt. Das Urteil ist noch nicht rechtskräftig.

Predator-Spuren führen auch nach Deutschland. Eine gemeinsame investigative Recherche mehrerer Medienhäuser und NGOs enthüllte im Herbst 2023, dass die Spähsoftware an 25 Länder verkauft wurde, darunter Regierungen in Sudan, Angola und Vietnam. Zu den europäischen Kunden sollen Deutschland, Österreich und die Schweiz zählen.

In Deutschland soll die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) bereits seit 2019 Kunde sein – was die deutsche Regierung so nicht öffentlich einräumen will. Offiziell hat sie bislang nur bestätigt, dass die Behörde mit den Überwachungsfirmen in Kontakt steht, um „im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten“, wie aus einer Antwort auf eine parlamentarische Anfrage aus dem Jahr 2023 hervorgeht.

Wir sind communityfinanziert

Unterstütze auch Du unsere Arbeit mit einer Spende.

Vorwurf illegaler Exporte

Womöglich war die Marktsichtung auch deswegen notwendig geworden, weil mit FinFisher ein weiterer Staatstrojaner-Anbieter weggebrochen ist. Dem Münchener Unternehmen, das unter anderem das BKA beliefert haben soll, wurde vorgeworfen, seine Spionage-Werkzeuge illegal exportiert zu haben. Gemeinsam mit der Gesellschaft für Freiheitsrechte, Reporter ohne Grenzen und dem Europäischen Zentrum für Verfassungs- und Menschenrechte reichte netzpolitik.org im Jahr 2019 deshalb Strafanzeige ein.

FinFisher bestritt die Vorwürfe, musste aber nach Hausdurchsuchungen schließlich Anfang 2022 Insolvenz anmelden. Ein Jahr später folgte eine Anklage der Staatsanwaltschaft München gegen vier nicht namentlich genannte ehemalige Geschäftsführer des Firmengeflechts.

Geschadet hat all dies, so scheint es, dem FinFisher-Manager Carlos Gandini bislang kaum. Der Expresso-Recherche zufolge soll er für die Vertretung von Intellexa im angolanischen Geschäft verantwortlich gewesen sein, was ein auf den April 2021 datiertes Dokument belege. Eine Presseanfrage von netzpolitik.org an Gandinis AdSum-Kontaktadresse blieb unbeantwortet.

Erneut Journalist ausgespäht

Ohne Folgen blieb der Erwerb einer Nutzungslizenz für die Spähsoftware in Angola offenbar nicht: Im Februar konnte eine gemeinsame Untersuchung von Reporter ohne Grenzen und Amnesty International nachweisen, dass der prominente Journalist Teixeira Cândido mit Predator gehackt und überwacht wurde.

Der Einsatz invasiver Spähsoftware gegen Journalist:innen sei „hochproblematisch“, sagt Maximilian Jung, Advocacy-Referent bei Reporter ohne Grenzen. Dabei würden nicht nur einzelne Recherchen gefährdet, sondern die Vertraulichkeit von Quellen und damit ein zentrales Fundament der Pressefreiheit untergraben, so Jung.

„Sollten sich die Hinweise bestätigen, dass erneut Akteure aus dem Umfeld von erwiesenermaßen illegal operierenden Unternehmen an der Vermittlung dieser Technologien beteiligt sind, ist das ein alarmierendes Beispiel für anhaltende Straflosigkeit in diesem Sektor“, sagt Jung. „Reporter ohne Grenzen fordert, den Export und die Vermittlung solcher Überwachungstechnologien zu verbieten, klare Transparenzpflichten einzuführen und Verstöße konsequent zu sanktionieren.“



Source link

Verwandte Themen:
Weiterlesen

Datenschutz & Sicherheit

Trellix-Einbruch: Cybergang RansomHouse behauptet Datenklau


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Vergangene Woche hat Trellix, das IT-Sicherheitsunternehmen, das aus dem Zusammenschluss von FireEye und McAfee hervorging, einen IT-Vorfall gemeldet: Angreifer haben Zugriff auf Quellcode-Repositories erlangt. Da war noch unklar, wer dafür verantwortlich zeichnet. Nun hat sich die kriminelle Vereinigung RansomHouse auf ihrer Darknet-Webseite zu dem Datenklau bekannt.

Weiterlesen nach der Anzeige


Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Informationen über das Cybersicherheitsunternehmen Trellix mit Website, Umsatz und Mitarbeiterzahl.

Der Eintrag auf der Darknet-Seite von RansomHouse zur Trellix-Einbruch liefert keine Details zu den erbeuteten Daten.

(Bild: heise medien)

Der konkrete Darknet-Eintrag hält einen Download-Link auf ein Sample vor. Angeblich hat die Bande die Daten von McAfee am 17. April 2026 „encrypted“, also verschlüsselt. Davon schreibt Trellix jedoch nichts. Die fein geschliffenen Formulierungen von Trellix schließen konkret eine Verschlüsselung der Repositories jedoch nicht aus. Das Unternehmen schreibt lediglich, dass es keine Belege dafür gebe, dass Quellcode-Releases oder der Verteilungsprozess betroffen sind oder dass der Quellcode missbraucht wurde.

Immerhin kommt mit dem Bekenntnis von RansomHouse etwas Licht ins Dunkel, wer bei dem IT-Sicherheitsunternehmen eingebrochen ist und sich den Quellcode von Software beschafft hat. Der Umfang der kopierten Daten bleibt jedoch weiter unklar, ebenso, welche Repositories und damit Informationen nun genau offenliegen.

Zumindest Klarheit über Täter

In der vergangenen Woche schrieb Trellix, dass das Unternehmen unbefugte Zugriffe auf einen Teil der Quellcode-Repositories bemerkt hatte. Es zog daraufhin den eigenen Angaben nach führende Forensikexperten zur Klärung hinzu. Auch die Strafverfolgungsbehörden hat Trellix demnach informiert. Es blieb zu dem Zeitpunkt unklar, wer für den IT-Einbruch verantwortlich war.


(dmk)



Source link

Weiterlesen

Datenschutz & Sicherheit

Schadcode-Lücke bedroht IBM App Connect Enterprise und IBM Integration Bus


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Die Integrationssoftware für unter anderem Geschäftsinformationen IBM App Connect Enterprise und IBM Integration Bus for z/OS sind über eine Softwareschwachstelle angreifbar. Schadcode kann Systeme kompromittieren.

Weiterlesen nach der Anzeige

Schadcode-Sicherheitslücke

Davor warnen die Entwickler in einem Beitrag. Im Zuge einer Directory-Traversal-Attacke (CVE-2026-67030 „hoch“) können Angreifer auf eigentlich abgeschottete Daten und Verzeichnisse zugreifen, um Schadcode abzuladen und auszuführen. Bislang gibt es keine Berichte, dass Angreifer die Sicherheitslücke schon ausnutzen.

Die Entwickler geben an, dass davon die folgenden Versionen bedroht sind: IBM App Connect Enterprise 12.0.1.0 bis 12.0.12.24 und 13.0.1.0 bis 13.0.7.0 und IBM Integration Bus for z/OS 0.1.0.0 bis 10.1.0.6. Die Lücken seien in den folgenden Ausgaben geschlossen:

  • IBM App Connect Enterprise v12- Fix Pack Release 12.0.12.25
  • IBM App Connect Enterprise v13- Fix Pack Release 13.0.7.1
  • IBM Integration Bus for z/OS v10.1 – Fix Pack Release 10.1.0.7


(des)



Source link

Weiterlesen

Datenschutz & Sicherheit

Debian macht ernst: Nur noch reproduzierbare Pakete in „testing“


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Debian verschärft für die kommende Version 14 („Forky“) seine Qualitätsanforderungen deutlich: Pakete dürfen nur noch dann nach „testing“ wandern, wenn sie sich reproduzierbar bauen lassen. Das hat das Debian-Release-Team angekündigt. Die entsprechende Migrationslogik ist bereits aktiv. Sie betrifft sowohl neue Pakete, die sich nicht reproduzieren lassen, als auch bestehende Pakete, deren Reproduzierbarkeit sich verschlechtert hat.

Weiterlesen nach der Anzeige

Was reproduzierbare Builds leisten

Reproduzierbare Pakete („reproducible builds“) erzeugen aus identischem Quellcode und in gleicher Build-Umgebung bit-identische Binärpakete. Damit werden Build-Prozesse nachvollziehbar und manipulationssicher. Unterschiede zwischen zwei Builds lassen sich so eindeutig auf echte Änderungen oder mögliche Manipulationen zurückführen.

Nicht reproduzierbare Builds entstehen oft durch banale Faktoren: Zeitstempel, zufällige Build-IDs oder eine nichtdeterministische Reihenfolge von Dateien. Zwei Builds desselben Quellcodes können dadurch unterschiedliche Binärdateien erzeugen, obwohl sich funktional nichts geändert hat. Reproducible Builds eliminieren solche Unterschiede systematisch, etwa durch normierte Zeitstempel oder ein deterministisches Packaging.

Vom Qualitätsziel zur Release-Voraussetzung

Debian arbeitet bereits seit Jahren mit dem Reproducible-Builds-Projekt an entsprechenden Mechanismen. Neu ist, dass Reproduzierbarkeit nicht mehr nur als Qualitätsziel gilt, sondern direkt über die Paketmigration nach „testing“ entscheidet. Damit macht die Distribution reproduzierbare Builds faktisch zur Voraussetzung für den regulären Release-Prozess. Den aktuellen Reproduzierbarkeitsstatus aller Pakete listet reproduce.debian.net auf.

Parallel baut Debian seine automatisierten Tests aus. Laut Release Team prüft die CI-Infrastruktur inzwischen auch sogenannte binNMUs automatisch mit autopkgtests. Dabei handelt es sich um reine Neuübersetzungen von Binärpaketen ohne Änderungen am Quellcode, etwa nach ABI-Übergängen oder neuen Bibliotheksversionen. Bislang lag der Fokus der Tests vor allem auf klassischen Source-Uploads.

Weiterlesen nach der Anzeige

Längere Warteschlangen durch loong64

Die neue Architektur loong64 sorgt derzeit vor allem für längere Warteschlangen in Debians Build- und Testinfrastruktur. Weil viele Pakete auf allen Architekturen neu gebaut werden mussten und Debian nun auch binNMUs per autopkgtest prüft, dauert die Migration nach „testing“ derzeit länger.

Zugleich erinnert Debian die Maintainer daran, dass sie selbst für die erfolgreiche Migration ihrer Pakete nach „testing“ verantwortlich bleiben. Blockieren fehlgeschlagene autopkgtests in Reverse-Dependencies die Migration, sollen die Maintainer entsprechende Release-Critical-Bugs melden.

Lesen Sie auch


(fo)



Source link

Weiterlesen

Beliebt