Eye Spy
Eye Spy
Bildquelle: abigail low, thx, Lizenz

Eye Spy: Iran spioniert Volk mit Spyware in VPN-Clients aus

Die iranische Regierung überwacht das eigene Volk mithilfe der Malware Eye Spy, die man über kostenlose VPN-Clients im Internet verteilt.

Mit Eye Spy ist in diesem Fall weder die Android-App noch die gleichnamige Überwachungskamera gemeint. Es geht um eine Schadsoftware, die sich in kostenlosen VPN-Clients unterbringen lässt. Häufiger werden kostenlose VPN-Abos und vieles mehr beispielsweise in diversen Telegram-Kanälen verteilt.

Eye Spy infiziert mithilfe kostenloser Angebote im Netz

VPN-Lösungen* für Verbraucher haben in den letzten Jahren ein explosionsartiges Wachstum erlebt. Diese häufig eingesetzten Dienstprogramme helfen Nutzern, ihren Internetverkehr privater zu halten und anonymer zu surfen. Man kann damit aber auch Einschränkungen oder die Zensur eines Staates umgehen.

Und während der Großteil der Welt diese Technologie als selbstverständlich ansieht, müssen Nutzer in bestimmten Regionen – wie die Menschen im Iran – Dutzende von Anwendungen ausprobieren, bevor sie eine finden, die (noch) in der Lage ist, die Beschränkungen des Internetanbieters zu umgehen. Und während einige VPNs gefälscht oder blockiert sind, hat man einige absichtlich mit Malware versehen. Für die iranischen Geheimdienste ist die Eye Spy-Kamagne seit rund anderthalb Jahren eine gängige Methode, um das eigene Volk auszuspionieren.

Für die Eye Spy-Kampagne verschenkte man verseuchte Clients des Anbieters 20speed vpn.

Kontext

Bei der routinemäßigen Analyse der Erkennungsleistung ist den Sicherheitsforschern eine Reihe von Prozessen aufgefallen, die das gleiche Muster in den Prozessnamen aufwiesen. Diese Namen beginnen mit sys, win oder lib, gefolgt von einem Wort, das die Funktionalität beschreibt, wie z. B. bus, crt, temp, cache, init. Sie enden alle mit 32.exe.

Später stellte Bitdefender Labs fest, dass die .bat-Dateien und die heruntergeladenen Payloads dieselbe Namenskonvention einhalten. Weitere Untersuchungen ergaben, dass die Komponenten Teil einer Überwachungsanwendung sind, die im Iran entwickelt und rechtmäßig über die Website des Entwicklers vertrieben wird.

Man fand auch heraus, dass einige Spyware-Komponenten bereits in einem von blackpoint veröffentlichten Artikel beschrieben wurden. In diesem Artikel wiesen die Forscher auf die Gefahren von legal vertriebener Überwachungssoftware mit bösartigem Verhalten hin. Die Daten laufen laut blackpoint über die Server des iranischen Unternehmens SecondEye. In den Vorfall verstrickt soll auch die iranische Entwickler-Firma UltimateSoft Co. sein.

Die Attacke im Überblick

Bitdefender Labs hat eine Malware-Kampagne entdeckt, die Komponenten von SecondEye – einer legitimen Überwachungsanwendung – verwendet, um Nutzer von 20Speed vpn, einem im Iran ansässigen VPN-Dienst, über trojanisierte Installationsprogramme auszuspionieren. Eye Spy ist in der Lage, die Online-Privatsphäre durch Keylogging und den Diebstahl von sensiblen Informationen wie Dokumenten, Bildern, Krypto-Wallets und Passwörtern vollständig zu gefährden.

Iran

Die Empfänger der Daten erhalten quasi jeden Mausklick und jede benutzte Taste der Opfer. Wer das vermeiden will, muss sein Betriebssystem auf dem Laufenden halten und sollte eine Antivirensoftware seiner Wahl installieren. Außerdem sollte man auf keinen Fall auf kostenlose Angebote eingehen, sondern den Zugang zum VPN-Dienst bei einem etablierten Anbieter kaufen.

Die Eye Spy-Kampagne begann bereits im Mai 2022, aber die Entdeckungen erreichten ihren Höhepunkt im August und September. Die meisten dieser Entdeckungen stammen aus dem Iran, mit einer kleinen Anzahl von Opfern in Deutschland und den USA. Weitere Details kann man dem Whitepaper entnehmen.

(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.