Handy mit VPN vor iranischer Flagge
VPN in Iran. Secure and safe internet concept. Privacy. Hand with mobile phone and VPN application. Flag and laptop on the background photo
Bildquelle: FellowNeko, Lizenz

VPN-Software kam mit iranischer Spyware

Das Programm des iranischen Anbieters 20speed kommt teilweise mit einer kleinen Überraschung: Spyware der Regierung

Das Labor-Team von Bitdefender hat in den Installern des VPN-Providers 20Speed eine Überraschung gefunden: die iranische Spyware EyeSpy. So werden auf befallenen Geräten zum Beispiel gespeicherte Passwörter kompromittiert. Aber auch Daten von Crypto Wallets werden abgegriffen, Dokumente und Bilder gestohlen, die Zwischenablage überwacht und Tastenanschläge geloggt.

Infektionsmarker können im Whitepaper auf Seite 18f. gefunden werden.

Vermutlich keine Verbindung zu Protesten

Während das Paper vom Anfang dieses Jahres ist, beginnen die Daten zu Infektionen bereits in Q2 letzten Jahres; lange vor den Protesten. Der Iran reiht sich damit in die nicht enden wollende Liste von Staaten mit hochinvasiven Überwachungsmaßnahmen ein.

ISPs hindern oft Iraner an der Nutzung von VPNs. Entsprechend ist es umso besorgniserregender, wenn einer der wenigen funktionierenden Anbieter eine Wanze mitbringt.

20Speed – Wie die Infektion abläuft

Während die Installation des eigentlichen VPN Clients läuft, wird im Hintergrund eine mitgeschickte sysCrt32.exe ausgeführt. Diese führt dann weitere Batch files aus und legt in der Aufgabenplanung einen Task an, der scheinbar harmlose Programme wie libchrome.exe oder libCache32.exe startet.

Alle benötigten Dateien werden im WindowsApps-Ordner des Anwenders gespeichert und dieser zum PATH hinzugefügt. Damit sind die Datenbestände dann aus jedem Order für den Nutzer (oder einen Angreifer mit der Identität des Nutzers) verfügbar.

Während sich die Infektionen derzeit noch auf den Iran beschränken, ist es doch wichtig, hier das Gesamtbild zu sehen. Der iranische Staat bringt zu diesem Zeitpunkt Nutzer mit einem Bedürfnis nach höherer Privatsphäre dazu, über eine vermeintlich vertrauenswürdige Plattform – den VPN Anbieter, – sich selbst zu verwanzen, ohne es zu wissen.

Was ist ein No-Log VPN?

VPN-Betreiber behaupten gerne, sie würden nicht loggen, aber man fragt sich schon: Was wird nicht geloggt? Natürlich werden nicht alle VPN Clients gleich Spyware ausliefern, aber wer einen VPN mit einem proprietären Client nutzt, hat am Ende keinen Einfluss, was der Anbieter installiert.

Wer sich davor schützen will, sollte darauf achten, ein VPN zu verwenden, das Open-Source Clients erlaubt. Diese dann am besten selbst kompilieren oder aus einer vertrauenswürdigen Quelle beziehen (Paket-Repositorys oder vom Entwickler selbst).

Über

Moritz ist von ganzem Herzen Open-Source Programmierer. Neben regelmäßigen Commits für diverse Open-Source-Projekte verfasst er gelegentlich auch Texte für die Tarnkappe. Er findet es echt seltsam über sich in der dritten Person zu schreiben und merkt an, dass seine DMs für alles außer Marketing-Nachrichten offen stehen. Erreichbar ist er auf Matrix (@moritz:poldrack.dev), IRC (mpldr auf libera.chat) und Email (~mpldr/public-inbox@lists.sr.ht).