Pegasus-Spionagesoftware gegen Journalisten und Aktivisten im Einsatz
Der Staat als Überwacher: Nicht nur mit der NSO-Software - Microsoft verweist auf eine Spyware der Firma Candiru, die von Regierungen eingesetzt wurde
Regierungen sollen "militärische Spionagesoftware" der israelischen Firma NSO Group nicht nur für die Überwachung von Terroristen und Kriminellen nutzen, sondern auch für erfolgreiche Hacks von Smartphones, die Journalisten, Menschenrechtsaktivisten, Geschäftsleuten [1] gehörten. Darüber berichtet unter anderem die Washington Post.
Die Zeitung gehört zu einem internationalen Journalistenkonsortium, das neue schwere Vorwürfe gegen den israelischen Überwachungssoftware-Anbieter NSO erhebt. Auf der NSO-Website preist die Firma aber keine Überwachung von Dissidenten an, sondern eine "Technologie, die Regierungsbehörden hilft, Terrorismus und Verbrechen zu verhindern und zu untersuchen".
189 Journalisten, 85 Menschenrechtsaktivisten und mehr als 600 Politiker
Die neuen Recherchen zeigen aber ein ganz anderes Bild. In Deutschland waren daran die Süddeutsche Zeitung (SZ), NDR, WDR und die Wochenzeitung Zeit beteiligt, die sich auch auf Daten von Amnesty International stützen. Die Menschenrechtsorganisation hat dazu einen umfassenden Bericht vorgestellt [2].
Nach den Recherchen des Journalistenkonsortiums sollen über das "Pegasus-Projekt" auch 189 Journalisten, 85 Menschenrechtsaktivisten und mehr als 600 Politiker aus verschiedenen Ländern ausspioniert worden sein. Werden die alle jetzt unter "Terrorismus" oder als schwerstkriminell eingestuft?
Herausgefunden wurde, dass IT-Experten von Amnesty International auf 37 untersuchten Handys von Journalisten, Menschenrechtlern, Geschäftsleuten und von ihren Familienangehörigen Spuren von Angriffen mit dem Pegasus-Trojaner gefunden haben. Gemeinsam mit der Organisation Forbidden Stories wurde ein Datensatz von mehr als 50.000 Telefonnummern ausgewertet, die als potenzielle Ausspähziele ausgewählt worden seien.
Unter den betroffenen Journalisten finden sich Mitarbeiter von Le Monde, Mediapart und Le Canard Enchainé in Frankreich, eine Reporterin des US-Fernsehsenders CNN wie auch Roula Khalaf, die im vergangenen Jahr die erste Chefredakteurin der Financial Times wurde. Unter den Ausgespähten finden sich auch investigative Journalisten aus Ungarn, Journalisten aus Marokko oder bekannte und kritische Journalistinnen aus Aserbaidschan.
"Aber was kann man schon tun?"
Auch die Verlobte von Jamal Khashoggi war Ziel von Spähaktionen. Kurz nachdem der Journalist Khashoggi, Direktor der saudi-arabischen Tageszeitung Al-Watan und Kolumnist für verschiedene Zeitungen wie die Washington Post, im saudi-arabischen Generalkonsulat in Istanbul bestialisch ermordet wurde, war Hatice Cengiz offensichtlich Ziel von Pegasus-Angriffen. Auch in ihrem Fall deuten technische Spuren auf ihrem Smartphone darauf hin, dass sie ausgespäht wurde, um sie komplett zu überwachen.
Der erste Angriff habe nur vier Tage nach der Ermordung von Khashoggi stattgefunden, schreibt der britische Guardian, der ebenfalls an den Recherchen beteiligt [3] war. Mehrfach wurde ihr Handy danach gehackt oder dies versucht. Die Datenanalyse lege nahe, dass Saudi-Arabien hinter ihrem Hacking steckte. Cengiz sagte gegenüber der Zeitung, sie sei nicht überrascht, dass sie gehackt worden sei:
Ich habe mir das nach dem Mord schon gedacht. Aber was kann man schon tun?
Neu sind die Vorwürfe gegen die israelische Firma NSO, die sie vehement immer wieder bestreitet, wahrlich nicht. Sogar Facebook hatte im vergangenen Jahr eine Klage gegen NSO gewonnen, weil der Chatdienst WhatsApp ausgespäht [4] worden war.
"Digitale Gewalt: Wie die NSO Group Staatsterror ermöglicht" [5], titelte Heise online erst kürzlich. Beschrieben wurden Angriffe mit Pegasus auf 60 Aktivisten. Mit dem Trojaner können "Mobiltelefone gehackt und im Anschluss heimlich E-Mails, Anrufe, SMS und Chat-Nachrichten mitgeschnitten werden", wobei die Software "keine Spuren" hinterlasse, hieß es in dem Artikel.
Das stimmt offensichtlich nicht mehr ganz, wie die neuesten Recherchen zeigen. Die Analysen wurden vom Citizen Lab bestätigt. Das IT-Sicherheitslabor an der Universität Toronto beschäftigt sich seit Jahren mit Überwachungssoftware. Die Süddeutsche Zeitung schreibt über die Möglichkeiten der Software:
Der Trojaner Pegasus kann fast alles, er ermöglicht den vollen Zugriff auf das Smartphone einer Zielperson - und damit viel mehr, als das deutsche Gesetz erlaubt.
SZ
Die Zeitung verweist darauf, dass auch in Deutschland nach der Änderung der Strafprozessordnung im Sommer 2017 von der Polizei staatliche Überwachungssoftware nach richterlicher Anordnung eingesetzt werden dürfe, auch um verschlüsselte Kommunikation von Tatverdächtigen mitzulesen. Doch diese Quellen-Telekommunikationsüberwachung (Quellen-TKÜ) sei an enge rechtliche Vorgaben geknüpft.
Pegasus: Eines der leistungsfähigsten Spionageprogramme auf Roadshow
Auch hierzulande soll NSO versucht haben, ihre Spionagesoftware an Behörden zu verkaufen. So sollen die NSO-Vertreter bei der Zentralen Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) in München vorstellig geworden sein. "Sie waren auf einer Art Roadshow und präsentierten ihr Portfolio [6]", berichtet die Tagesschau.
Darunter habe sich auch die Spionagesoftware Pegasus befunden. Damit könnten Smartphones nicht nur heimlich überwacht und komplett ausgespäht werden, sondern sogar "zu Wanzen umgewandelt werden, um unbemerkt Gespräche mitzuschneiden". Bislang sei NSO in Deutschland dabei allerdings "wohl ohne Erfolg" geblieben, wird berichtet. Sicher ist sich der Sender dabei offensichtlich nicht.
Angemerkt sei hier noch, dass über die Software, die als eine der leistungsfähigsten Spionageprogramme auf dem kommerziellen Markt gilt, neben dem Mikrofon auch die Kamera eines Geräts unbemerkt eingeschaltet werden kann.
Da über die Pegasus-Angriffe im deutschsprachigen Raum nun zahllose Berichte zirkulieren, soll hier nun nicht mehr besonders auf die NSO-Software und das Vorgehen eingegangen werden. Angemerkt sei hier aber noch, dass man sich besonders auf "autoritäre Staaten" wie Ungarn einschießt. Demnach seien auch in Ungarn kritische Journalisten wie Szabolcs Panyi über Pegasus ausgespäht [7] worden. Dass darüber berichtet wird, daran ist wahrlich nichts auszusetzen.
Spanien
Aber es ist etwas daran auszusetzen, dass kaum oder nicht darüber berichtet wurde, dass mit aller Wahrscheinlichkeit auch Spanien zu den NSO-Kunden gehört. So war schon vor einem Jahr aufgeflogen, dass auch der ehemalige Präsident des katalanischen Parlaments zu den Opfern eines Pegasus-Angriffs gehörte.
Dazu musste man allerdings ebenfalls den Guardian lesen, um darüber etwas zu erfahren [8]. Die Zeitung führte schon damals aus, dass die Software nur von staatlichen Stellen gekauft werden kann, was einen Angriff von spanischer Regierungsseite nahelegt.
Roger Torrent (vgl dazu ein Telepolis-Gespräch mit ihm vor dem Bekanntwerden des Angriffs [9] über die WhatsApp-Lücke), war der erste öffentlich bekannte Fall, in dem ein hochrangiger europäischer Politiker mit der Software Pegasus überwacht wurde. Er gehört zu dem Lager, das Spanien mächtig Probleme bereitet, weil auch die Republikanische Linke Kataloniens (ERC) die Unabhängigkeit von Spanien erreichen will.
Bekannt ist, dass Madrid dagegen mit massiver Repression vorgeht, wie das Referendum 2017 gezeigt hat, als friedliche Wähler in einer militärähnlichen Operation geprügelt wurden, wie internationale Beobachter bestätigt haben [10]. Bekannt ist auch, dass Politiker und Aktivisten sogar für eine angebliche Rebellion angeklagt wurden und schließlich wegen eines "Aufstands" zu bis zu 13 Jahren Haft verurteilt wurden, der in europäischen Ländern so nicht gesehen wurde, weshalb Exil-Katalanen nicht an Spanien ausgeliefert werden [11].
Komischerweise schlug der Fall Torrent kaum Wellen. Weil dahinter mit großer Sicherheit das EU-Mitgliedsland Spanien steht? Auch dieser Angriff, der wahrlich kein Einzelfall in Katalonien ist, wurde von Citizen Lab damals genauso bestätigt, wie das IT-Sicherheitslabor an der Universität Toronto den Angriff auf die Verlobte von Khashoggi bestätigt hat. Citizen Lab beschäftigt sich seit etlichen Jahren mit Überwachungssoftware.
Und hier sind wir gleich beim nächsten Fall, in dem das Sicherheitslabor eine bedeutende Rolle spielt, worüber die Leser im deutschsprachigen Raum vermutlich nichts mitbekommen haben. Auch das ist einigermaßen erstaunlich, da im Zusammenhang mit der Spionage sogar Microsoft vergangene Woche offiziell über eine inzwischen geschlossene Sicherheitslücke informierte [12], über die Politiker, Journalisten und Menschenrechtsaktivisten ausspioniert wurden.
Warum ging das im deutschsprachigen Raum weitgehend unter, obwohl darüber weltweit berichtet wurde?
Von letzterem zeugen Artikel der Nachrichtenagentur Bloomberg [13] und viele andere [14]. Interessant dabei ist, dass die Deutsche Welle sogar in ihrem Angebot in spanischer Sprache über den massiven Skandal berichtete und davon sprach, dass "Microsoft mindestens 100 Opfer identifiziert" [15] habe.
Trojaner von Candiru: Noch mächtiger als der von Pegasus
Dokumentiert wurden die Aktivitäten von "Sourgum" erneut in Zusammenarbeit mit Sicherheitsexperten des Citizen Lab. Schon Microsoft hatte mitgeteilt, dass es sich erneut um eine Spionagesoftware einer israelischen Firma handele.
In diesem Fall aber nicht NSO, sondern ein Trojaner von Candiru, der ebenfalls von diversen Ländern eingesetzt wird [16]. "Candiru ist ein mysteriöses Unternehmen mit Sitz in Israel, das Spyware ausschließlich an Regierungen verkauft [17]", schreiben Mitarbeiter von Citizen Lab in einem Bericht dazu.
Nach ihren Angaben werden über die Spyware nicht nur Mobiltelefone angegriffen, sondern auch Computer aller Art. Dabei ist es egal, ob es sich um PC oder Mac handelt, Android-Telefone oder IPhones. Mit der Software könnten auch Cloud-Konten infiziert und überwacht werden.
"Mithilfe von Internet-Scans haben wir mehr als 750 Webseiten identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind."
Besonders perfide ist, dass sich die Spione auch als Menschenrechtsorganisationen getarnt hatten.
Wir fanden viele Domains, die sich als Interessenvertretungsorganisationen wie Amnesty International, die Black Lives Matter-Bewegung sowie als Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben.
Citizen Lab
Darunter befinden sich zum Beispiel auch CNN oder Euronews. Deren Seiten waren mit der Spyware bestückt, die dann wieder die Nutzer infizieren konnten. Unter den Medienunternehmen fand sich auch die Deutsche Welle. Die hielt das allerdings offensichtlich nicht für ausreichend, um auch ihre deutschsprachigen Nutzer darüber zu informieren.
Die Candiru-Malware nennt Microsoft "DevilsTongue". Zwei "0-day exploits" (CVE-2021-31979 [18] und CVE-2021-33771 [19] in Microsoft-Produkten seien für die Spionage ausgenutzt worden.
Darüber hätten die Angreifer nicht nur Passwörter stehlen können, auch Dateien und Nachrichten konnten von den Geräten geraubt werden. Das sei für Gmail-Konten genauso der Fall gewesen wie für Skype oder Facebook.
"Die Spyware kann auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon des Ziels einschalten und Bilder vom Bildschirm machen", erklärt Citizen Lab. Aufgezeigt wird, wie auch über den Candiru-Trojaner aus den betroffenen Computern und Handys Überwachungsgeräte werden können.
Bösartige Links oder andere Nachrichten direkt vom Computer eines kompromittierten Benutzers versenden
Das Erfassen von Daten aus zusätzlichen Apps, wie dem als besonders sicher geltenden Signal Messenger, verkaufe die Firma als Add-on. Über ihre Webseite hat Microsoft inzwischen ein Update zur Verfügung gestellt, um die Lücken zu schließen. Ob Candiru aber nicht längst mit einer neuen Lücke arbeitet, ist eine Frage, die noch beantwortet werden muss.
Citizen Lab weist darauf hin, dass die Candiru-Software vermutlich noch mächtiger als der Pegasus-Trojaner ist, nicht allein deshalb, weil auch Computer betroffen sind. Denn DevilsTongue ist nicht nur in der Lage, Daten zu stehlen und verschlüsselte Chats mitzulesen oder Gespräche mitzuhören. Die Analyse von Microsoft hat ergeben, dass die Spyware auch Nachrichten von angemeldeten E-Mail- und Social-Media-Konten von dem gehackten Gerät des Opfers habe versenden können.
"Dies könnte es ermöglichen, bösartige Links oder andere Nachrichten direkt vom Computer eines kompromittierten Benutzers zu senden. Der Nachweis, dass der kompromittierte Benutzer die Nachricht nicht gesendet hat, könnte ziemlich schwierig sein."
Diskreditieren und kriminalisieren
Was das bedeutet, sollte eigentlich allen klar sein. Man kann die angegriffenen Dissidenten oder Journalisten diskreditieren und sie auch kriminalisieren. "Beweise" dafür können geschaffen und ihnen untergeschoben werden. Sie können für Nachrichten, Emails oder andere Inhalte verantwortlich gemacht werden, die zwar von ihrem Rechner oder Handy kamen, aber nicht von ihnen geschrieben oder verschickt wurden.
Zu den Ländern, diesen Staatstrojaner eingesetzt haben sollen, gehören Iran, die Türkei, Armenien, Singapur und Israel soll ihn gegen Palästinenser eingesetzt haben. Es sei, so meint Microsoft, aber nicht zwingend, dass diese Staaten Candiru-Kunden sind, da internationale Überwachung verbreitet sei.
In der illustren Liste der Länder, die vermutlich die Spyware eingesetzt haben, finden sich auch zwei europäische Staaten wie Großbritannien und das Mitglied der Europäischen Gemeinschaft, Spanien. Dabei hebt Microsoft den Einsatzort "Katalonien" klar hervor. Nur in der rebellischen Region, wo sich bekanntlich inzwischen eine Mehrheit von Spanien trennen will [20], wurde nach Angaben der Experten die Spionagesoftware eingesetzt.
Spezialisten von Microsoft und Mitarbeiter von Citizen Lab haben die Candiru-Spyware auf Telefonen und Computern von Menschen gefunden, die sich "repressiven Regimes widersetzen", die sich, so die Forscher, durch eine "schlechte Menschenrechtsbilanz auszeichnen", schreibt Citizen Lab. Dazu gehört auch Spanien, das in Katalonien trotz der erzwungenen Freilassung der katalanischen politischen Gefangenen weiter repressiv vorgeht [21].
In dem Land wird auch an Sicherheitsgesetzen unterhalb des Ausnahmezustands gestrickt, die man ebenfalls eher in einer Diktatur zu erwarten würde und die sogar eine Art Gleichschaltung der Medien in einem "Krisenzustand" vorsehen [22].
Zuletzt hatte der Europarat Spanien wegen der Repression in Katalonien besonders hart angegriffen [23] und mit der Türkei auf eine Stufe gestellt, das ebenfalls die Candiru-Software einsetzt. Der Europarat hatte unter anderem auch die Einstellung aller Strafverfahren und auch die Rückkehr der Exilanten gefordert, die sich wie der ehemalige Präsident Carles Puigdemont im Exil in Belgien aufhalten.
Inzwischen wurde aus dem Umfeld von Puigdemont bekannt, dass auch er ein Opfer von DevilsTongue sein soll. Citizen Lab untersuche den Vorgang weiter [24], schreibt die Online-Zeitung Vilaweb und verweist darauf, dass neben dem Parlamentspräsidenten Torrent schon etliche andere hochrangige katalanische Politiker Angriffen von Pegasus ausgesetzt waren.
Schwarzmarkt für Sicherheitslücken
Interessant ist in diesem Zusammenhang auch die Einschätzung von Fefe [25]. Er geht an die neuralgischen Stellen: "Wie kommt diese Pegasus-Malware auf die Geräte? Über Sicherheitslücken. Sicherheitslücken, die auf dem Schwarzmarkt gekauft wurden." Das sei ein Markt, der überhaupt nur deshalb existiere, "weil es Player gibt, die für Exploits zahlen, und die dann nicht schließen, sondern sie ausnutzen".
Ein Markt, der aus genau einem Grunde existiert: Weil unseriöse Unrechtsregimes wie das unsrige ihre Geheimdienste und Polizeien ermächtigen, Sicherheitslücken auszunutzen, um Trojaner zu installieren.
Fefe [26]
Es sei egal, ob man dafür direkt Geld bezahle oder über "eine israelische Exploitwäscherei" gehe. Man solle beim "Gestikulieren über die schlimmen Israelis, die dieses Exploit-Kit zusammengestellt haben" nicht aus den Augen verlieren, "dass sie das tun, weil unethische Möchtegernediktaturen wie Deutschland es für legitim finden, Trojaner auf den Geräten ihrer Bürger zu installieren".
URL dieses Artikels:
https://www.heise.de/-6142288
Links in diesem Artikel:
[1] https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones
[2] https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
[3] https://www.theguardian.com/world/2021/jul/18/nso-spyware-used-to-target-family-of-jamal-khashoggi-leaked-data-shows-saudis-pegasus
[4] https://www.heise.de/news/WhatsApp-Hacker-Facebook-gewinnt-US-Verfahren-gegen-NSO-Group-4675642.html
[5] https://www.heise.de/news/Digitale-Gewalt-Wie-die-NSO-Group-Staatsterror-ermoeglicht-6128257.html
[6] https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-deutschland-101.html
[7] https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-ungarn-101.html
[8] https://www.theguardian.com/world/2020/jul/13/phone-of-top-catalan-politician-targeted-by-government-grade-spyware
[9] https://www.heise.de/tp/features/Intervention-in-Katalonien-sofort-beenden-3944924.html
[10] https://www.heise.de/tp/features/Expertenteams-Gut-geplante-militaeraehnliche-Operation-in-Katalonien-3851076.html
[11] https://www.heise.de/tp/features/Konservative-Parteien-zerstoeren-die-EU-5075917.html
[12] https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware
[13] https://www.bloomberg.com/news/articles/2021-07-15/israeli-firm-s-spyware-used-against-dissidents-microsoft-says
[14] https://www.aljazeera.com/economy/2021/7/15/citizen-lab-spyware-by-israels-candiru-used-to-target-activists
[15] https://www.dw.com/es/citizen-lab-software-de-candiru-espi%C3%B3-a-periodistas-y-activistas/a-58284269
[16] https://www.microsoft.com/security/blog/2021/07/15/protecting-customers-from-a-private-sector-offensive-actor-using-0-day-exploits-and-devilstongue-malware
[17] https://citizenlab.ca/2021/07/hooking-candiru-another-mercenary-spyware-vendor-comes-into-focus/
[18] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31979
[19] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-33771
[20] https://www.heise.de/tp/features/Katalonien-rueckt-weiter-nach-links-5055725.html
[21] https://krass-und-konkret.de/politik-wirtschaft/auslandsbericht/nach-begnadigungen-folgt-fuer-katalanen-die-oekonomische-keule/
[22] https://www.heise.de/tp/features/Krisenzustand-mit-Verpflichtung-zu-persoenlichen-Diensten-6132238.html
[23] https://www.heise.de/tp/features/Erzwungene-Milde-fuer-katalanische-Politiker-6068190.html
[24] https://www.vilaweb.cat/noticies/puigdemont-programa-espia-candiru/
[25] https://blog.fefe.de/?ts=9e0a7a4a
[26] https://blog.fefe.de/?ts=9e0a7a4a
Copyright © 2021 Heise Medien