{"id":219868,"date":"2019-06-28T00:22:58","date_gmt":"2019-06-27T22:22:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219868"},"modified":"2021-06-14T12:58:52","modified_gmt":"2021-06-14T10:58:52","slug":"deutsche-polizei-fr-hausdurchsuchung-beim-omnirat-entwickler-durch-gerte-beschlagnahmt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/28\/deutsche-polizei-fr-hausdurchsuchung-beim-omnirat-entwickler-durch-gerte-beschlagnahmt\/","title":{"rendered":"Deutsche Polizei f&uuml;hrt Hausdurchsuchung beim OmniRAT-Entwickler durch, Ger&auml;te beschlagnahmt"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Die deutsche Polizei hat gestern das Haus des Entwicklers von OmniRAT durchsucht und seinen Laptop, seinen Computer und seine Mobiltelefone beschlagnahmt.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/e6005bf5c901402fb9ab3d3dbb1cc379\" width=\"1\" height=\"1\"\/>Blog-Leser Leon hat mich per Mail auf die Information bei <a href=\"https:\/\/thehackernews.com\/2019\/06\/police-raid-omnirat-developer.html\">The Hacker News<\/a> hingewiesen (danke daf\u00fcr). Das Medium wurde direkt von einer Quelle informiert und berichtet exklusiv dar\u00fcber&nbsp; \u2013 eine Pressemitteilung der Polizei habe ich jedenfalls nicht gefunden. Man geht davon aus, dass die Hausdurchsuchung die Folge eines k\u00fcrzlich durchgef\u00fchrten Cyber-Angriffs gewesen ist. <\/p>\n<h2>Was ist OmniRAT?<\/h2>\n<p>OmniRAT machte im November 2015 von sich reden, als sein Entwickler es als legitimes Remote-Administrationstool f\u00fcr IT-Experten und Unternehmen einf\u00fchrte. Die Software war zum Preis von 25 und 100 US-Dollar erh\u00e4ltlich. OmniRAT entwickelte sich schnell zu einem der beliebtesten Tools f\u00fcr die Fernverwaltung, mit dem Benutzer Android-, Windows-, Linux- und Mac-Ger\u00e4te aus der Ferne \u00fcberwachen und auf alle verf\u00fcgbaren Informationen zugreifen k\u00f6nnen.<\/p>\n<h2>Das Tool wird von Cyber-Kriminellen missbraucht<\/h2>\n<p>Einige Kunden von OmniRAT verwendeten das Tool (wie andere andere Fernverwaltungstool wie DroidJack, DarkComet, AndroRAT und njRAT) f\u00fcr illegale Zwecke. Dies galt speziell, da OmniRAT zu einem weitaus g\u00fcnstigeren Preis als andere Remote Access Tools (RATs) auf dem Markt erh\u00e4ltlich war. Im November 2015 hat Avast beispielsweise den Beitrag <a href=\"https:\/\/blog.avast.com\/de\/2015\/11\/06\/cyberkriminelle-spionieren-mit-omnirat-deutsche-smartphone-nutzer-aus\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cyberkriminelle spionieren mit OmniRat deutsche Smartphone-Nutzer aus<\/a> zu diesem Thema ver\u00f6ffentlicht. <\/p>\n<p>Bei einer Kampagne versuchte eine Gruppe von Hackern Anfang des Jahres, mehrere Ziele anzugreifen, indem sie die alte Remote-Code-Execution-Schwachstelle (VE-2016-7262) in Microsoft Excel ausnutzte. \u00dcber diese Schwachstelle wurde OmniRAT schlie\u00dflich auf den Zielrechnern installiert. Laut einem Sicherheitsforscher, der diesen Vorfall im Januar \u00f6ffentlich machte, benutzten die Angreifer eine manipulierte Excel-Arbeitsmappe, das sich als Gesch\u00e4ftsprofil der \"Kuwait Petroleum Corporation (<a href=\"https:\/\/www.kpc.com.kw\/\" target=\"_blank\" rel=\"noopener noreferrer\">KPC<\/a>)\" ausgab, um ihre Opfer dazu zu bringen, den Anhang zu \u00f6ffnen.<\/p>\n<h2>Anw\u00e4lte nehmen sich des Thema an<\/h2>\n<p>Obwohl die Kuwait Petroleum Company selbst nicht von der Malware angegriffen wurde, besch\u00e4digte die angeblich von der Firma verschickte Mail deren Reputation. Daher wurden Anw\u00e4lte, die die \u00d6lgesellschaft vertraten, laut einer anderen anonyme Quelle von The Hacker News, aktiv. Vor fast zwei Monaten kontaktierten die Anw\u00e4lte den Domainregistrar der offiziellen Domain von OmniRAT per&nbsp; E-Mail. In der Nachricht forderten sie den Registrar auf, die Identit\u00e4t des Domaininhabers offenzulegen. <\/p>\n<p>Dies war wohl notwendig, das die \u00f6ffentlich abrufbaren Whois-Daten des Domain-Inhabers wegen der Datenschutzgrundverordnung (GDPR) nicht mehr angezeigt wurden. Andererseits fordern aber die ICANN-Regeln im Zusammenhang mit der Whois-Datenbank, dass berechtigte Interessenten diese Informationen bekommen. Die Anw\u00e4lte beriefen sich, soweit ich es verstanden habe, darauf, dass die berechtigten Interessen ihres Klienten \u00fcber den Schutzinteressen der DSGVO st\u00e4nden. <\/p>\n<h2>Domain ist offline \u2013 Hausdurchsuchung beim Entwickler<\/h2>\n<p>Wie eingangs berichtet, fand beim OmniRAT-Entwickler \u2013 der \u00fcbrigens nichts mit den kriminellen Vorg\u00e4ngen zu tun haben muss \u2013 eine Hausdurchsuchung mit Beschlagnahme der Ger\u00e4te statt. Ich tippe mal, dass im Rahmen der Beweissicherung versucht wird, an die Kundenbasis von OmniRAT heranzukommen. <\/p>\n<p>Jedenfalls ist die offiziellen OmniRAT-Website seit einigen Tagen nicht mehr verf\u00fcgbar. The Hacker News vermutet, dass die Site wahrscheinlich vom Entwickler selbst gesperrt wurde. Dies sollte verhindern, dass der Domain-Registrar seine Identit\u00e4t an die Anw\u00e4lte weitergibt. <\/p>\n<p>Aktuell ist die Identit\u00e4t des Entwicklers nicht \u00f6ffentlich bekannt, er soll den Quellen von The Register zufolge in Deutschland beheimatet sein. Im Moment ist unklar, ob die Razzia der deutschen Polizei mit den Bem\u00fchungen der Kuwait Oil Company zur Offenlegung der Identit\u00e4t zusammen h\u00e4ngt. Es w\u00e4re auch m\u00f6glich, dass die Hausdurchsuchung auf Grund eines separaten Strafverfahrens gegen den Entwickler stattfand. The Hacker News schreibt aber auch, dass es m\u00f6glich sei, dass die deutsche Polizei hinter der Liste und Identit\u00e4t aller Kunden, die OmniRAT in den letzten vier Jahren gekauft haben, rher sei, um gegen Cyberkriminelle vorzugehen, die das Tool missbrauchen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die deutsche Polizei hat gestern das Haus des Entwicklers von OmniRAT durchsucht und seinen Laptop, seinen Computer und seine Mobiltelefone beschlagnahmt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-219868","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219868","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219868"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219868\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219868"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219868"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219868"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}