Seite 2: Trojaner von Candiru: Noch mächtiger als der von Pegasus

Dokumentiert wurden die Aktivitäten von "Sourgum" erneut in Zusammenarbeit mit Sicherheitsexperten des Citizen Lab. Schon Microsoft hatte mitgeteilt, dass es sich erneut um eine Spionagesoftware einer israelischen Firma handele.

In diesem Fall aber nicht NSO, sondern ein Trojaner von Candiru, der ebenfalls von diversen Ländern eingesetzt wird. "Candiru ist ein mysteriöses Unternehmen mit Sitz in Israel, das Spyware ausschließlich an Regierungen verkauft", schreiben Mitarbeiter von Citizen Lab in einem Bericht dazu.

Nach ihren Angaben werden über die Spyware nicht nur Mobiltelefone angegriffen, sondern auch Computer aller Art. Dabei ist es egal, ob es sich um PC oder Mac handelt, Android-Telefone oder IPhones. Mit der Software könnten auch Cloud-Konten infiziert und überwacht werden.

"Mithilfe von Internet-Scans haben wir mehr als 750 Webseiten identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind."

Besonders perfide ist, dass sich die Spione auch als Menschenrechtsorganisationen getarnt hatten.

Wir fanden viele Domains, die sich als Interessenvertretungsorganisationen wie Amnesty International, die Black Lives Matter-Bewegung sowie als Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben.

Citizen Lab

Darunter befinden sich zum Beispiel auch CNN oder Euronews. Deren Seiten waren mit der Spyware bestückt, die dann wieder die Nutzer infizieren konnten. Unter den Medienunternehmen fand sich auch die Deutsche Welle. Die hielt das allerdings offensichtlich nicht für ausreichend, um auch ihre deutschsprachigen Nutzer darüber zu informieren.

Die Candiru-Malware nennt Microsoft "DevilsTongue". Zwei "0-day exploits" (CVE-2021-31979 und CVE-2021-33771 in Microsoft-Produkten seien für die Spionage ausgenutzt worden.

Darüber hätten die Angreifer nicht nur Passwörter stehlen können, auch Dateien und Nachrichten konnten von den Geräten geraubt werden. Das sei für Gmail-Konten genauso der Fall gewesen wie für Skype oder Facebook.

"Die Spyware kann auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon des Ziels einschalten und Bilder vom Bildschirm machen", erklärt Citizen Lab. Aufgezeigt wird, wie auch über den Candiru-Trojaner aus den betroffenen Computern und Handys Überwachungsgeräte werden können.

Bösartige Links oder andere Nachrichten direkt vom Computer eines kompromittierten Benutzers versenden

Das Erfassen von Daten aus zusätzlichen Apps, wie dem als besonders sicher geltenden Signal Messenger, verkaufe die Firma als Add-on. Über ihre Webseite hat Microsoft inzwischen ein Update zur Verfügung gestellt, um die Lücken zu schließen. Ob Candiru aber nicht längst mit einer neuen Lücke arbeitet, ist eine Frage, die noch beantwortet werden muss.

Citizen Lab weist darauf hin, dass die Candiru-Software vermutlich noch mächtiger als der Pegasus-Trojaner ist, nicht allein deshalb, weil auch Computer betroffen sind. Denn DevilsTongue ist nicht nur in der Lage, Daten zu stehlen und verschlüsselte Chats mitzulesen oder Gespräche mitzuhören. Die Analyse von Microsoft hat ergeben, dass die Spyware auch Nachrichten von angemeldeten E-Mail- und Social-Media-Konten von dem gehackten Gerät des Opfers habe versenden können.

"Dies könnte es ermöglichen, bösartige Links oder andere Nachrichten direkt vom Computer eines kompromittierten Benutzers zu senden. Der Nachweis, dass der kompromittierte Benutzer die Nachricht nicht gesendet hat, könnte ziemlich schwierig sein."

Diskreditieren und kriminalisieren

Was das bedeutet, sollte eigentlich allen klar sein. Man kann die angegriffenen Dissidenten oder Journalisten diskreditieren und sie auch kriminalisieren. "Beweise" dafür können geschaffen und ihnen untergeschoben werden. Sie können für Nachrichten, Emails oder andere Inhalte verantwortlich gemacht werden, die zwar von ihrem Rechner oder Handy kamen, aber nicht von ihnen geschrieben oder verschickt wurden.

Zu den Ländern, diesen Staatstrojaner eingesetzt haben sollen, gehören Iran, die Türkei, Armenien, Singapur und Israel soll ihn gegen Palästinenser eingesetzt haben. Es sei, so meint Microsoft, aber nicht zwingend, dass diese Staaten Candiru-Kunden sind, da internationale Überwachung verbreitet sei.

In der illustren Liste der Länder, die vermutlich die Spyware eingesetzt haben, finden sich auch zwei europäische Staaten wie Großbritannien und das Mitglied der Europäischen Gemeinschaft, Spanien. Dabei hebt Microsoft den Einsatzort "Katalonien" klar hervor. Nur in der rebellischen Region, wo sich bekanntlich inzwischen eine Mehrheit von Spanien trennen will, wurde nach Angaben der Experten die Spionagesoftware eingesetzt.

Spezialisten von Microsoft und Mitarbeiter von Citizen Lab haben die Candiru-Spyware auf Telefonen und Computern von Menschen gefunden, die sich "repressiven Regimes widersetzen", die sich, so die Forscher, durch eine "schlechte Menschenrechtsbilanz auszeichnen", schreibt Citizen Lab. Dazu gehört auch Spanien, das in Katalonien trotz der erzwungenen Freilassung der katalanischen politischen Gefangenen weiter repressiv vorgeht.

In dem Land wird auch an Sicherheitsgesetzen unterhalb des Ausnahmezustands gestrickt, die man ebenfalls eher in einer Diktatur zu erwarten würde und die sogar eine Art Gleichschaltung der Medien in einem "Krisenzustand" vorsehen.

Zuletzt hatte der Europarat Spanien wegen der Repression in Katalonien besonders hart angegriffen und mit der Türkei auf eine Stufe gestellt, das ebenfalls die Candiru-Software einsetzt. Der Europarat hatte unter anderem auch die Einstellung aller Strafverfahren und auch die Rückkehr der Exilanten gefordert, die sich wie der ehemalige Präsident Carles Puigdemont im Exil in Belgien aufhalten.

Inzwischen wurde aus dem Umfeld von Puigdemont bekannt, dass auch er ein Opfer von DevilsTongue sein soll. Citizen Lab untersuche den Vorgang weiter, schreibt die Online-Zeitung Vilaweb und verweist darauf, dass neben dem Parlamentspräsidenten Torrent schon etliche andere hochrangige katalanische Politiker Angriffen von Pegasus ausgesetzt waren.

Schwarzmarkt für Sicherheitslücken

Interessant ist in diesem Zusammenhang auch die Einschätzung von Fefe. Er geht an die neuralgischen Stellen: "Wie kommt diese Pegasus-Malware auf die Geräte? Über Sicherheitslücken. Sicherheitslücken, die auf dem Schwarzmarkt gekauft wurden." Das sei ein Markt, der überhaupt nur deshalb existiere, "weil es Player gibt, die für Exploits zahlen, und die dann nicht schließen, sondern sie ausnutzen".

Ein Markt, der aus genau einem Grunde existiert: Weil unseriöse Unrechtsregimes wie das unsrige ihre Geheimdienste und Polizeien ermächtigen, Sicherheitslücken auszunutzen, um Trojaner zu installieren.

Fefe

Es sei egal, ob man dafür direkt Geld bezahle oder über "eine israelische Exploitwäscherei" gehe. Man solle beim "Gestikulieren über die schlimmen Israelis, die dieses Exploit-Kit zusammengestellt haben" nicht aus den Augen verlieren, "dass sie das tun, weil unethische Möchtegernediktaturen wie Deutschland es für legitim finden, Trojaner auf den Geräten ihrer Bürger zu installieren".