Computersabotage


Einleitung

Dies ist eine Fortführung der Seite This is not me. Bereits im Jahr 2014 erstattete ich Strafanzeige wegen Identitätsdiebstahl. Von damals zusammengefasste Ergebnisse sind dort zu finden. Es werden dort viele Email Adressen aufgelistet, die nicht von mir sind. Das Dokument ist von 2014, wurde gegenüber dem damals eingereichten erweitert, und ist nicht mehr ganz aktuell. Am 30.01.2021 erreichte mich ein Erpresserschreiben. Daraufhin habe ich bei der Polizei Anzeige erstattet. Die Beschreibung der Schadprogramme durch den Erpresser deckt sich mit meinen Ermittlungen. Diese werde ich im folgenden darstellen und meine Beweise präsentieren.

Erpresserschreiben

Betreff: The device has been successfully hacked.
Von: Elizabeth <ebay@valesports.co.uk>
An: <homepage @ christianbuth.name>
Datum: 30.01.21, 13:41

Greetings. I monitored your device on the net for a long time and successfully managed to hack it. It was not difficult for me, as I have been in this business for a long time.

When you visited a *** site, I was able to put a virus on your computer that gave me full access to your device, namely your camera, microphone, phone calls, messengers, what happens on your screen, phone book, passwords to all social networks, etc.

To hide my virus, I have written a special driver which is updated every 4 hours and makes it impossible to detect it.

I captured video of your screen and camera device and edited a video of you *** that you opened at that moment in the other part of the screen.

I can safely send any data from your device to the Internet, as well as anyone who is recorded in your contacts, messengers and social networks. I can also give anyone access to your social networks, emails and messengers.

If you don't want me to do it, then: Transfer $1300 (US dollars) to my Bitcoin wallet.

My Bitcoin wallet address: bc1qpae26vlj5dnlxgwt2xjyw69sz3e596xs9xtwkn

I give you 48 hours to transfer the money. Otherwise, I will perform the above. The timer started automatically as soon as you opened the email. I am also automatically notified when this email is opened.

If you do not know how to transfer money and what Bitcoin is. Then type "Buy Bitcoin" into Google

As soon as I receive a transfer of the required amount, the system will automatically inform me about the received payment and offer to delete from my servers all the data I received from you. And therefore, I will confirm the deletion.

Do not try to complain anywhere, as a purse does not track, mail from where the letter came, and is not tracked and created automatically, so there is no point in writing to me. If you try to share this email with anyone, the system will automatically send a request to the servers and they will proceed to upload all the data to social networks. Also, changing passwords in social networks, mail, device will not help you, because all the data is already downloaded to a cluster of my servers.

Good luck.

Analyse

Nein, es ist keine harmlose Massenemail. Tatsächlich fand ich diesen „so gut versteckten Virus“ sowohl auf meinem Computer als auch auf meinem Smartphone indirekt, indem ich den Netzwerkverkehr untersuchte. Beweise finden sie weiter unten

Analyse des Briefes:

Erstens war der Zeitpunkt, zu dem ich diesen Brief erhielt, einwandfrei; jemand beobachtete.

Zweitens ist die E-Mail-Adresse homepage @ christianbuth.name spamfrei und wird nur selten verwendet. Sie kann nicht automatisch geerntet werden, sondern muss manuell zusammengebaut werden. Sie ist exklusiv auf meiner Homepage aufgeführt. Dies schließt Massen-E-Mails aus, die von Betrügern verwendet werden. Stattdessen war es eine gezielte E-Mail.

Drittens scheint die Absenderadresse ebay@valesports.co.uk eine gültige, reguläre E-Mail-Adresse eines Unternehmens zu sein. Dies ist keine der seltsamen Adressen, die normalerweise in Spam / Betrug verwendet werden. Ich gehe davon aus, dass das Computersystem des Mitarbeiters auf die gleiche Weise ebenfalls gehackt wird.

Viertens ist das Schreiben gut und klar.

Fünftens scheinen die beschriebenen Funktionen der Malware weitgehend korrekt zu sein.

Sechstens, vielleicht wurde dieser Text an viele Ziele gesendet, und deshalb glauben einige, dass es ein Betrug sein könnte.

Ermittlungsergebnisse

Eine Zusammenstellung vieler meiner Kommunikationswege ist als Contact.jpg und als Visitenkarte Christian Buth.vcf angeheftet. Meine Fairphone Mobiltelefonnummer ist +49-151-64093390.

Ich erhalte von einer Mobiltelefonnummer alarmierende SMS, die von verschiedenen Autoren zu stammen scheinen. Wahrscheinlich ist das Smartphone ebenso mit Schadsoftware infiziert. In den SMS geht es um „konzentrierte Schwefelsäure verhindert“, dann um „Ex-machen“, „finalisieren“, dass heißt ermorden, wer wen „umgebracht“ hat, „Die ***apotheke ist superliquide!“, „Der *** ist superfluid!“, mögliche Erpressung oder Diebstahl, sowie Namen, Autokennzeichen und Adressen von Zielpersonen. Ich bin auch unter den zu ermordenden Zielpersonen aufgeführt.

Die Beweise sind als Bildschirmfotos festgehalten deren Ordnerstruktur ich im folgenden beschreibe.

Fairphone – Schadprogramme

In dem Ordner "Fairphone – Schadprogramme" finden sie die von der Android App „IP Security Premium“ gefundenen Schadprogramme. Zu bemerken ist, dass die Programme, nach ihrer Entdeckung durch mich, ganz schnell wieder „von selbst“ verschwanden, dass heißt, dass die ganze Zeit über der Bildschirm beobachtet wurde. Das bedeutet außerdem, dass die Apps nach belieben durch modifizierte Versionen ersetzt werden können, die Schadkode enthalten. Es gibt ein paar Schadprogramme, wie „googlejsmanager.com“ und „facebook-security-center.com“ die immer wieder neu gefunden wurden. Interessant sind die global verstreuten IP Adressen. Es scheinen mehrere Akteure gleichzeitig aktiv zu sein.

Fairphone – Verbindungen

In dem Ordner "Fairphone – Verbindungen" finden sie Netzverbindungen aufgeschlüsselt von der Android App „IP Security Premium“. Auffallend ist das trotz gleichem „Hostname“, die „Org.“ variiert. Der Hostname „any-in-2615.1e100.net“ wird z.B. einmal „Google LLC“ und einmal „ecotel communication ag“ zugeordnet.

Fairphone – Verkehr

In dem Ordner "Fairphone – Verkehr" finden sie Netzverkehr protokolliert von der Android App „NetGuard“. Es fällt auf, dass es zu einer Ausleitung des Datenverkehrs auf illegale Server kommt. Die gesamte Kommunikation, dass heißt alle Apps, scheinen betroffen zu sein.

Besonders deutlich wird dies bei dem Netzverkehr von „WhatsApp“. Hier werden Daten an Server von z.B. Hetzner Online GmbH, Vodafone Kabel Deutschland GmbH, Verein zur Förderung eines Deutschen Forschungsnetzes e.V., Universität Stuttgart, etc. ausgeleitet. Ich bin mir absolut sicher, dass dies kein gewöhnlicher Netzverkehr von „WhatsApp“ ist. Alarmierend ist auch die Ausleitung des Datenverkehrs auf außländische Server, wie die von Truenetwort LLC, Google LLC, sasag Kabelkommunikation AG, Republican Unitary Telecommunication Enterprise Beltelecom, etc.

Auf dem orangenen Bilschirmfoto Screenshot_20200107-150112.png finden sich auch Steuersignale HOPO6, die dazu dienen das WiFi des Fairphones abzuschalten. Hier wurde von dritter Seite eingegriffen.

Fairphone – Spezial

Bildschirmfoto Screenshot_20180511-220621.png zeigt den Ladestand des Fairphones. Obwohl das Gerät die ganze Zeit mit dem Netzteil verbunden ist (siehe oben rechts der Blitz im Akkusymbol), scheint das Gerät nicht zu laden. Dies ist meiner Ansicht nach reine Gaukelei von dritter Seite, durch eine Kontrolle der Ladeanzeige. Ich konnte schon bei vielen Gelegenheiten beobachten, dass sich das Gerät schnell „entlud“, dass heißt der Akku schien innerhalb von kurzer Zeit erschöpft zu sein. Der Akku ist jedoch technisch einwandfrei in Ordnung.

Bildschirmfoto Screenshot_20180515-094028.png zeigt die Android App „DNS Changer“, die die Auflösung von IP Adressen auf unzensierte Server umleitet. Alle solchen Server scheinen blockiert zu sein. Unter Umständen kommen manipulierte DNS Server zum Einsatz.

Bildschirmfoto Screenshot_20180515-095702.png ist ein klarer Nachweis, dass das Fairphone mit professioneller (staatlicher?) Spionagesoftware angegriffen wird. Auf dem Bildschirmfoto sind viele „komische“ Hostnamen zu sehen, die von verschiedenen Angreifern herrühren.

Bildschirmfoto Screenshot_20200220-191551.png zeigt die verfügbaren Telefonanbieter. Mein Fairphone hat eine SIM Karte der Deutschen Telekom AG. Interessanterweise gibt es zwei Netze „Telekom.de“. Offensichtlich wird der Telefonverkehr auf ein alternatives Netz geleitet, dass sich als „Telekom.de“ ausgiebt.

Bildschirmfoto Screenshot_20200303-003129.png zeigt die „MeinMagenta“ App der Deutschen Telekom AG. Es wird angezeigt, dass ein „HotSpot Flat“ Zugang bestünde. Einen solchen habe ich aber nicht gebucht. Ich hätte ihn auch nicht buchen können, wie Bildschirmfoto HotSpot Flat.jpg im Ordner "MacBook Pro und Windows PC" reklamiert. Scheinbar läuft auch über HotSpots Datenverkehr auf/von meinem Fairphone.

MacBook Pro und Windows PC

Bildschirmfoto Fernsehen.jpg zeigt eine Liste von „MediathekView“, dass senderübergreifend Fernsehprogramme zum Anschauen zusammenfasst. Sendungen werden von illegalen Server heruntergeladen. Hier fäällt wiederum die Firma Akamai Technologies auf.

Bildschirmfotos Proxy 1.jpg und Proxy 2.jpg zeigen eine IPv6 Adresse als meine; jedoch sagt mir eine Internetseite, dass ich eine IPv4 Adresse hätte. Ich verwende selbst keinen Proxyserver. Scheinbar wird der Internetverkehr durch einen illegalen Proxyserver geschleust. Es könnte auch noch zusätzlich eine Zwischenschicht im Betriebssystem auf meinem Windows PC eingerichtet worden sein (z.B. VPN), die nach außen hin eine andere IP Adresse hat.

Bildschirmfotos Sabotage 1.jpg, Sabotage 2.jpg, Sabotage 3.jpg, und Sabotage 4.jpg zeigen vier typische Firmenwebseiten. Alle diese Seiten werden auf illegale Server umgeleitet.


© 2021 A letter is put into an envelope.  Then the envelope is pushed to the right. Dr. Christian Buth [homepage @ christianbuth.name]
URL of this page: https://www.christianbuth.name/sabotage.html.