Überwachungs-Trojaner

Update: Pariser Staatsanwaltschaft startet Untersuchung zu "Pegasus"

Uhr
von Maximilian Schenner und ml

Kunden der israelischen Sicherheitsfirma NSO sollen hunderte Journalisten, Politiker und Aktivisten mit dem Überwachungs-Trojaner "Pegasus" überwachen und abhören. Die Pariser Staatsanwaltschaft leitet nun Ermittlungen gegen Geheimdienste ein, die "Pegasus" einsetzen.

(Source: PhotoMIX-Company / pixabay.com)
(Source: PhotoMIX-Company / pixabay.com)

Update vom 22. Juli 2021: Die Staatsanwaltschaft in Paris will die "betrügerische Gewinnung und Weitergabe von Daten" durch die Pegasus-Software ermitteln und leitet dahingehend eine Untersuchung ein. Dies aufgrund einer Anzeige zweier betroffener Journalisten sowie dem Verlag der Plattform "Mediapart", wie "ICT-Channel" berichtet. Eine Spezialeinheit der Polizei für Kriminalität in der Informations- und Kommunikationstechnik werde die Untersuchungen führen. Dabei sei auch Angriff auf Privatsphäre ein Thema. Gemäss "Mediapart" seien die beiden Reporter im Zeitraum von 2019 bis 2020 mit der Pegasus-Software überwacht worden. Das Verlagshaus mache Geheimdienste in Marokko verantwortlich; die Staatsanwaltschaft habe sich zu diesen Anschuldigungen nicht geäussert.

Die Vereinten Nationen (UN) sollen sich indes in Bezug auf die Enthüllungen an die US-Regierung gewandt haben. Man sei in Kontakt mit den Behörden des Gastlandes, sagte UN-Sprecher Farhan Haq der Deutschen Presse-Agentur, liess aber offen, ob auch ranghohe Vertreter der UN respektive Generalsekretär António Guterres betroffen sind. "Wir betrachten jede gemeldete Verletzung der Kommunikation von UN-Beamten als Anlass zur Sorge", zitiert "ICT-Channel" Haq weiter. Das Sekretariat werde alle erforderlichen Massnahmen ergreifen, um die Sicherheit seiner Kommunikationssysteme zu gewährleisten.

Update vom 20. Juli 2021: Amazon Web Services (AWS) hat Accounts gesperrt, die mit NSO, der Firma hinter dem "Pegasus"-Trojaner, in Verbindung stehen sollen. Wie "The Verge" berichtet, habe die Firma Dienste von AWS sowie Amazon CloudFront genutzt, um die Software in die Smartphones ihrer Überwachungsziele einzuschleusen. Damit habe NSO mehrere Erkennungstechniken im Internet umgehen können, wie "The Verge" unter Berufung auf Amnesty International schreibt. "Als wir von dieser Aktivität erfuhren, haben wir schnell gehandelt und die entsprechende Infrastruktur und Konten abgeschaltet", wird ein Sprecher von AWS zitiert.

Amnesty beschreibt indes in einem ausführlichen Bericht, wie die israelische Firma respektive deren Kunden vorgehen, um den Trojaner anzubringen. Darin listet die Organisation unter anderem zahlreiche URLs und E-Mail-Adressen, die zum Einsatz kommen, um die Software auf dem Zielgerät zu installieren. Darüber hinaus habe NSO in den letzten Jahren auch Schwachstellen in den iOS-Anwendungen Apple Photos, Apple Music und iMessage ausgenutzt. Auch Dienste von Firmen wie DigitalOcean and Linode habe die Firma verwendet.

Weiter habe die Firma vorwiegend europäische Server verwendet, um die Angriffsinfrastruktur zu hosten. Die meisten befinden sich laut Amnesty in Deutschland (212); auch 36 Schweizer Server habe NSO genutzt. Die übrigen Server befinden sich in anderen europäischen Ländern sowie in Nordamerika und Asien. Amnesty listet alle Indicators of Compromise (IoC) auf GitHub und stellt dort auch ein Tool bereit, um solche Indikatoren eines potenziellen Angriffs auf dem Smartphone nachzuweisen.

Originalmeldung vom 19. Juli 2021: Trojaner "Pegasus" überwacht hunderte Journalisten und Politiker

Ein trojanisches Pferd mit Flügeln, das direkt auf das Handy fliegt - so beschreibt Shalev Hulio, Chef von NSO, die Software Pegasus. Kunden der israelischen Sicherheitsfirma sollen den Spionage-Trojaner einsetzen, um die Smartphones von Journalisten, Politikern und Menschenrechtsaktivisten abzuhören, wie unter anderem "Der Standard" berichtet. Ein internationales Journalistenkonsortium machte dies nun öffentlich. NSO verkauft "Pegasus" offiziell nur an staatliche Stellen - diese sollen die Software zur Prävention von Terroranschlägen einsetzen. Gemäss dem Konsortium gebe es jedoch Hinweise darauf, dass autoritäre Regimes den Trojaner zur Überwachung von Oppositionellen und Dissidenten einsetzen.

Liste mit 50'000 Telefonnummern geleakt

Unter Experten soll Pegasus als effektivste Überwachungssoftware für Smartphones gelten und als Cyberwaffe eingestuft sein. Dem Journalistenkonsortium, das sich selbst als "Pegasus-Projekt" bezeichnet, liege indes eine geleakte Liste mit 50'000 Telefonnummern potenzieller Überwachungsziele vor. Darunter seien auch mehr als 180 Journalistinnen und Journalisten, etwa von Le Monde und CNN. Auf 37 Smartphones seien tatsächlich Spuren des Trojaners gefunden worden, wie auch "SRF" schreibt. Auch zwei Reporter des ungarischen Investigativmediums "Direkt 36" seien betroffen. Gemäss "Der Standard" liegt der Verdacht nahe, dass die ungarische Regierung für die Angriffe verantwortlich sei. Ein Sprecher des Büros von Ministerpräsident Viktor Orban habe dies auf Nachfrage nicht dementiert, jedoch betont, Ungarn setze solche Methoden nur "im gesetzlichen Rahmen" ein.

Auch im Umfeld des im Oktober 2018 in der saudischen Botschaft in Istanbul ermordeten saudischen Journalisten Jamal Kashoggi soll "Pegasus" zum Einsatz gekommen sein. Vier Tage nach Kashoggis Ermordung sei der Trojaner auf dem Smartphone seiner Verlobten installiert worden, schreibt "Der Standard" weiter. NSO beteuert, es gebe keinerlei Zusammenhänge mit dem Mord des Regierungskritikers in Istanbul.

"Lebensrettende Mission"

Die Erfassung von Telefonnummern müsse jedoch nicht zwingend etwas mit Überwachung zu tun haben - das schreibt zumindest ein US-amerikanischer Anwalt im Auftrag von NSO in einem Statement, wie die "Tagesschau" berichtet. Die Erfassung habe "legitime und vollständig saubere Anwendungsmöglichkeiten", heisst es weiter. Auch über den Erfolg im Einsatz von Spionagesoftware sage dies nichts aus, wird der Anwalt zitiert. "Die Wahrheit ist, die Technologien der NSO Group haben geholfen, Terrorangriffe, Waffengewalt, Auto-Explosionen und Selbstmordanschläge zu verhindern", teilte demnach auch die Firma selbst mit. Als weitere Einsatzgebiete erwähnt NSO die Zerschlagung von Menschen- und Drogenhandelsringen. Das Unternehmen sieht sich damit auf "lebensrettender Mission".

So fliegt "Pegasus" aufs Handy

Die "Tagesschau" beschreibt unterschiedliche Wege, wie die Software das Smartphone des Überwachungsziels infiziert. Einer davon sei die "klassische" Methode, einen Trojaner auf dem Gerät des Opfers zu installieren. Dabei erhält das Opfer eine E-Mail oder SMS, die auch eine URL enthält. Ein Klick darauf startet den Download des Trojaners. NSO soll seinen Kunden eine Art "Baukasten" bereitstellen, um solche Nachrichten so realistisch wie möglich wirken zu lassen. Die Firma habe aber auch einen Weg gefunden, jegliches "Mitwirken" des Opfers in der Installation der Software zu umgehen. Auch hierbei werde eine Nachricht verschickt - diese werde der betroffenen Person jedoch nicht angezeigt, das Gerät soll den Download von alleine starten. Die Experten von Amnesty International wiesen dies gemäss "Tagesschau" auf mehreren iPhone-Geräten nach.

Weiter soll das Programm von NSO Sicherheitslücken in mobilen Betriebssystemen ausnutzen, sowohl auf Android als auch in iOS. Dabei handle es sich um Zero-Day-Exploits - also Schwachstellen, die ausgenutzt werden können, bevor die Hersteller darauf aufmerksam werden. IT-Forschenden der Universität Toronto zufolge habe "Pegasus" drei solcher Exploits hintereinander ausgenutzt, um Zugriff auf ein Telefon zu bekommen. Hacker suchen immer wieder nach solchen Schwachstellen und verkaufen diese an Geheimdienste und Firmen - darunter eben auch NSO. Die Software könne gemäss "Tagesschau" nicht nur Überwachungsmassnahmen ausführen, sondern auch wichtige Systemupdates unterdrücken, die ebensolche Lücken schliessen würden.

Auch Windows war Anfang Juli 2021 von einem solchen Zero-Day-Exploit betroffen - Forschende hatten den Code dazu versehentlich ins Netz gestellt. Microsoft hat mittlerweile Patches für die Schwachstelle veröffentlicht, wie Sie hier lesen können.

Auch über das Netzwerk soll sich "Pegasus" im Smartphone des Überwachungsziels einnisten können. NSO verkaufe sogenannte IMSI-Catcher (International Mobile Subscriber Identity), also Geräte, die vorgeben, ein Mobilfunkmast zu sein. Da das Signal dieser Geräte stärker ist als jenes aller umliegenden Netzmasten, verbindet sich das Smartphone des Opfers automatisch damit. Der IMSI-Catcher schaltet sich quasi zwischen Netzmast und Smartphone - und "Pegasus" hat freie Flugbahn.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_223208

Kommentare

« Mehr