RAT Imminent Monitor: Jugendlicher finanzierte Fast-Food mit Spyware-Tool

Foto: Australian Federal Police

Nach Angaben der Australian Federal Police (AFP) war der Beschuldigte aus der Nähe von Brisbane gerade einmal 15 Jahre alt und wohnte im Haus seiner Mutter, als er den Remote Access Trojaner (RAT) namens Imminent Monitor (IM) entwickelte, der weltweit von Kriminellen eingesetzt wird. Einmal installiert, konnten die Benutzer den Computer des Opfers kontrollieren, seine persönlichen Daten stehlen oder es ausspionieren, indem sie Webcams und Mikrofone auf den Geräten einschalteten – alles ohne dessen Wissen.

Die Spyware konnte auch Tastatureingaben protokollieren, so dass die Benutzer sehen konnten, was in E-Mails und anderen Dokumenten geschrieben wurde, z. B. die Privatadresse des Opfers. Die Spionagesoftware konnte auf verschiedene Weise installiert werden, z. B. durch Phishing. Die AFP geht davon aus, dass es weltweit Zehntausende von Opfern gab.

“Diese Art von Malware ist deshalb so ruchlos, weil sie einem Täter virtuellen Zugang zum Schlafzimmer oder zur Wohnung eines Opfers verschaffen kann, ohne dass dieses davon weiß”, erklärte Chris Goldsmid, Leiter der Abteilung Cyberkriminalität bei der AFP. “Leider gibt es Kriminelle, die diese Tools nicht nur für den Diebstahl persönlicher Daten zur finanziellen Bereicherung, sondern auch für sehr aufdringliche und verabscheuungswürdige Verbrechen nutzen.”

Foto: Australian Federal Police

Der Beschuldigte verkaufte das Tool angeblich für 35 australische Dollar (etwa 24 Euro) in einem Hackerforum und verdiente damit zwischen 300.000 und 400.000 AU-Dollar, indem er es an mehr als 14.500 Personen in 128 Ländern verkaufte. Unter ihnen befanden sich auch Täter, die häusliche Gewalt ausüben, und andere Kriminelle, wie die australische Bundespolizei mitteilte. Wie eine Finanzanalyse ergab, wurden die Erträge aus dem Handel hauptsächlich für Lieferdienste und “andere Verbrauchs- und Einwegartikel” verwendet.

Operation Cepheus

Zur Verhaftung des Australiers führte die von der australischen Bundespolizei gestartete und über Eurojust, Europol und die Joint Cybercrime Action Taskforce (J-CAT) koordinierte Operation Cepheus. Die AFP hatte im Jahr 2017 die Ermittlungen aufgenommen, nachdem die Cybersicherheitsfirma Palo Alto Networks und das FBI Hinweise auf ein verdächtiges RAT geliefert hatte.

Die Informationen lösten eine weltweite Untersuchung aus, an der mehr als ein Dutzend Strafverfolgungsbehörden in Europa beteiligt waren. Als Konsequenz wurden weltweit 85 Durchsuchungsbefehle vollstreckt, 434 Geräte beschlagnahmt und 13 Personen verhaftet, die das RAT für mutmaßliche Straftaten genutzt hatten.

In einer koordinierten Aktionswoche im November 2019 gelang es den Behörden in acht Ländern schließlich, das RAT auszuschalten, so dass es weltweit nicht mehr funktionierte. Im selben Jahr erhielt die AFP zulässiges Beweismaterial von ausländischen Strafverfolgungsbehörden, das die Verhaftung des Australiers ermöglichte. Die Ermittler beschlagnahmten in der damaligen Wohnung des Mannes in Brisbane eine Reihe von Geräten, darunter einen speziell angefertigten Computer, der Code enthielt, der mit der Entwicklung und Verwendung des RAT übereinstimmt.