Die deutsche Polizei hat gestern das Haus des Entwicklers von OmniRAT durchsucht und seinen Laptop, seinen Computer und seine Mobiltelefone beschlagnahmt.
Anzeige
Blog-Leser Leon hat mich per Mail auf die Information bei The Hacker News hingewiesen (danke dafür). Das Medium wurde direkt von einer Quelle informiert und berichtet exklusiv darüber – eine Pressemitteilung der Polizei habe ich jedenfalls nicht gefunden. Man geht davon aus, dass die Hausdurchsuchung die Folge eines kürzlich durchgeführten Cyber-Angriffs gewesen ist.
Was ist OmniRAT?
OmniRAT machte im November 2015 von sich reden, als sein Entwickler es als legitimes Remote-Administrationstool für IT-Experten und Unternehmen einführte. Die Software war zum Preis von 25 und 100 US-Dollar erhältlich. OmniRAT entwickelte sich schnell zu einem der beliebtesten Tools für die Fernverwaltung, mit dem Benutzer Android-, Windows-, Linux- und Mac-Geräte aus der Ferne überwachen und auf alle verfügbaren Informationen zugreifen können.
Das Tool wird von Cyber-Kriminellen missbraucht
Einige Kunden von OmniRAT verwendeten das Tool (wie andere andere Fernverwaltungstool wie DroidJack, DarkComet, AndroRAT und njRAT) für illegale Zwecke. Dies galt speziell, da OmniRAT zu einem weitaus günstigeren Preis als andere Remote Access Tools (RATs) auf dem Markt erhältlich war. Im November 2015 hat Avast beispielsweise den Beitrag Cyberkriminelle spionieren mit OmniRat deutsche Smartphone-Nutzer aus zu diesem Thema veröffentlicht.
Bei einer Kampagne versuchte eine Gruppe von Hackern Anfang des Jahres, mehrere Ziele anzugreifen, indem sie die alte Remote-Code-Execution-Schwachstelle (VE-2016-7262) in Microsoft Excel ausnutzte. Über diese Schwachstelle wurde OmniRAT schließlich auf den Zielrechnern installiert. Laut einem Sicherheitsforscher, der diesen Vorfall im Januar öffentlich machte, benutzten die Angreifer eine manipulierte Excel-Arbeitsmappe, das sich als Geschäftsprofil der "Kuwait Petroleum Corporation (KPC)" ausgab, um ihre Opfer dazu zu bringen, den Anhang zu öffnen.
Anzeige
Anwälte nehmen sich des Thema an
Obwohl die Kuwait Petroleum Company selbst nicht von der Malware angegriffen wurde, beschädigte die angeblich von der Firma verschickte Mail deren Reputation. Daher wurden Anwälte, die die Ölgesellschaft vertraten, laut einer anderen anonyme Quelle von The Hacker News, aktiv. Vor fast zwei Monaten kontaktierten die Anwälte den Domainregistrar der offiziellen Domain von OmniRAT per E-Mail. In der Nachricht forderten sie den Registrar auf, die Identität des Domaininhabers offenzulegen.
Dies war wohl notwendig, das die öffentlich abrufbaren Whois-Daten des Domain-Inhabers wegen der Datenschutzgrundverordnung (GDPR) nicht mehr angezeigt wurden. Andererseits fordern aber die ICANN-Regeln im Zusammenhang mit der Whois-Datenbank, dass berechtigte Interessenten diese Informationen bekommen. Die Anwälte beriefen sich, soweit ich es verstanden habe, darauf, dass die berechtigten Interessen ihres Klienten über den Schutzinteressen der DSGVO ständen.
Domain ist offline – Hausdurchsuchung beim Entwickler
Wie eingangs berichtet, fand beim OmniRAT-Entwickler – der übrigens nichts mit den kriminellen Vorgängen zu tun haben muss – eine Hausdurchsuchung mit Beschlagnahme der Geräte statt. Ich tippe mal, dass im Rahmen der Beweissicherung versucht wird, an die Kundenbasis von OmniRAT heranzukommen.
Jedenfalls ist die offiziellen OmniRAT-Website seit einigen Tagen nicht mehr verfügbar. The Hacker News vermutet, dass die Site wahrscheinlich vom Entwickler selbst gesperrt wurde. Dies sollte verhindern, dass der Domain-Registrar seine Identität an die Anwälte weitergibt.
Aktuell ist die Identität des Entwicklers nicht öffentlich bekannt, er soll den Quellen von The Register zufolge in Deutschland beheimatet sein. Im Moment ist unklar, ob die Razzia der deutschen Polizei mit den Bemühungen der Kuwait Oil Company zur Offenlegung der Identität zusammen hängt. Es wäre auch möglich, dass die Hausdurchsuchung auf Grund eines separaten Strafverfahrens gegen den Entwickler stattfand. The Hacker News schreibt aber auch, dass es möglich sei, dass die deutsche Polizei hinter der Liste und Identität aller Kunden, die OmniRAT in den letzten vier Jahren gekauft haben, rher sei, um gegen Cyberkriminelle vorzugehen, die das Tool missbrauchen.
Anzeige
Die Digitale Welt wird noch viel bekloppter werden, soviel ist sicher.
Bis eines Tages alle durchdrehen.
Und was dann geschieht, kann sich heute wohl noch Niemand vorstellen.
In dem Fall habe ich kein Mitleid mit dem Entwickler, da die Software, soweit ich das entnehme, stark darauf ausgelegt ist, illegal verwendet zu werden.
Eine Installation auf Android (mit anderem Namen und verbleibt auf dem Gerät trotz Deinstallation) zielt doch nur darauf ab, jemanden heimlich zu überwachen.
Als ob er da alleine wäre auf weiter Flur… ich sag nur Staatstrojaner.
Und wie immer stellt sich mir die Frage, war die Anwendung von Anfang an dafür vorgesehen, also speziell für die illegale Verwendung gemacht, oder wurde wie so oft, eine gut gemeinte Entwicklung duch andere Mißbraucht. Beispiele gibt es ja zu genüge…
Genau so sehe ich das auch.
Demnach sind alle Fernwartungstools kriminell und müssen verboten werden.
Wenn die Ermittlungen abgeschlossen sind, wird die Öffentlichkeit wohl mehr erfahren.
Es ist kein guter Charakterzug, andere vorschnell zu verurteilen, obgleich noch gar nichts bewiesen werden kann.
Ansonsten sind prinzipiell alle Menschen schlecht.