Nach Klagen und Sanktionen

Update: Spähsoftware-Hersteller NSO wechselt CEO aus

Uhr
von Kevin Fischer und Nadja Baumgartner und René Jaun und ml, kfi, slk, jor

Vergangenes Jahr ist bekannt geworden, dass die Spähsoftware "Pegasus" hunderte Personen aus Politik und Medien überwacht. Die hinter der Software stehende NSO Group wurde seither mehrfach verklagt und mit Handelsbeschränkungen belegt. Jetzt strukturiert das Unternehmen um.

(Source: PhotoMIX-Company / pixabay.com)
(Source: PhotoMIX-Company / pixabay.com)

Update vom 22.8.2022: Die NSO Group, die hinter dem Überwachungstrojaner "Pegasus" steckt, hat eine einschneidende Umstrukturierung angekündigt. Wie "" berichtet, legte der CEO und Mitgründer Shalev Hulio sein Amt per sofort nieder. Bis ein Nachfolger gefunden ist, soll COO Yaron Shohat als Interims-CEO wirken.

Weiter gibt die NSO Group bekannt, rund 100 Mitarbeitende entlassen zu wollen. Dies seien etwa 15 Prozent der Belegschaft, merkt "The Register" an. Laut der Mitteilung will das Unternehmen im Zuge der Reorganisation all seine Geschäftsbereiche unter die Lupe nehmen. Ziel sei es, "sicherzustellen, dass NSO eines der weltweit führenden Hightech-Cyber-Intelligence-Unternehmen bleibt und sich auf NATO-Mitgliedsländer konzentriert", schreibt das Unternehmen.

Update vom 24. November 2021: Nachdem Apple seine Betriebssysteme gegen die Überwachungssoftware "Pegasus" abgesichert hat, geht das Unternehmen nun auch rechtlich dagegen vor. Der Tech-Konzern hat Klage gegen die Entwickler der Software, die NSO Group und deren Muttergesellschaft, eingereicht, heisst es in einer Mitteilung. Man wolle das israelische Unternehmen "für die Überwachung von und den gezielten Angriff auf Apple Nutzerinnen und Nutzer zur Verantwortung ziehen", schreibt Apple.

Ziel der Klage sei, der NSO Group die Nutzung von Produkten und Services von Apple zu untersagen. Ausserdem fordert Apple eine Wiedergutmachung für die Überwachungsaktivitäten seiner Nutzerinnen und Nutzer. Apples Server seien im Rahmen dieser Aktivitäten nicht gehackt, jedoch missbraucht worden, schreibt Apple weiter. Die NSO Group habe "Apple-IDs erstellt, um bösartige Daten an das Gerät des Opfers zu senden".

Wie "Die Süddeutsche Zeitung" berichtet, hat das Handelsministerium der Vereinigten Staaten die NSO Group bereits Anfang November auf eine schwarze Liste gesetzt. Damit sei die Firma Handelsbeschränkungen mit amerikanischen Unternehmen unterworfen.

Update vom 14. September 2021: Apple will dem Überwachungs-Trojaner "Pegasus" auf seinen Geräten ein Ende bereiten: Gemäss "Golem" soll ein Software-Update des Konzerns die vom Trojaner genutzte Sicherheitslücke schliessen. Forschende des Citizen Lab der Universität Toronto fanden die Lücke bei der Analyse des Smartphones eines saudi-arabischen Aktivisten und meldeten sie Apple. Die Sicherheitslücke namens "Forcedentry" sei seit mindestens Februar 2021 ausgenutzt worden.

Die Schwachstelle wurde über präparierte PDF-Dateien ausgenutzt, wie es weiter heisst. Das sollen künftig die folgenden neuen Betriebssystem-Versionen von Apple verhindern: iOS 14.8, iPadOS 14.8, MacOS Big Sur 11.6 sowie WatchOS 7.6.2. Die Updates sollten umgehend eingespielt werden, wie "Golem" schreibt.

Update vom 4. August 2021: Die französische Behörde für Cybersicherheit (Anssi) hat bestätigt, dass sie die Spähsoftware Pegasus auf Telefonen von Reportern entdeckt hat. Es ist das erste Mal, dass die forensischen Untersuchungen von Amnesty International von staatlicher Seite offiziell bestätigt wurden, wie die "Süddeutsche Zeitung" schreibt. Anssi ging der Anzeige zweier Journalisten des Radiosenders France 24 nach und fand Spuren der Pegasus-Software auf ihren Telefonen.

Mit der offiziellen Bestätigung wächst der Druck auf die NSO Group und die israelischen Behörden, wie es weiter heisst. Eine israelische Expertenkommission untersucht die Vorwürfe gegen die NSO Group. Die Kommission setze sich aus Vertretern und Vertreterinnen verschiedener Ministerien, der Armee und dem israelischen Auslandsgeheimdienst Mossad zusammen. Indirekt gehe es bei der Untersuchung auch um das Verhalten früherer israelischer Regierungen. Die Erlaubnis zum Export der Pegasus-Software gab letztlich eine Behörde des israelischen Verteidigungsministeriums, wie es weiter heisst.

Macron von Pegasus betroffen - aber Frankreich gibt sich zurückhaltend

Die Recherchen des Pegasus-Projekts hätten gezeigt, dass Regime wie Saudi-Arabien, Aserbaidschan und die Vereinigten Arabischen Emirate die Software offenbar gegen Journalisten, Dissidenten und Menschenrechtler eingesetzt hatten. Auch Staats- und Regierungschefs seien Ziele gewesen - etwa im Fall von Marokko und Emmanuel Macron. Macron und 15 seiner Minister hätten unterdessen ihre Telefone ausgetauscht.

Frankreich verhält sich derweil gegenüber Israel und Marokko zurückhaltend. Bei der Frage nach dem Warum zitiert "Le Monde" gemäss "Süddeutsche Zeitung" einen Minister: "Es ist nervig, das sind zwei befreundete Staaten, auf die wir angewiesen sind bei der Zusammenarbeit in der Terrorbekämpfung." Die US-Regierung hingegen habe Bedenken gegenüber dem Einsatz der Pegasus-Software geäussert.

Deutsche Regierung schweigt über den Einsatz der Spähsoftware

In Deutschland verweigert die Bundesregierung die Auskunft, welche Behörden die Spähsoftware eingesetzt haben und es noch immer tun, wie es weiter heisst. Die Frage berühre zu schutzbedürftige Geheimhaltungsinteressen. Das kritisiert Bundestagsabgeordneter Konstantin von Notz schwer. Nun sollen sich der Innenausschuss des Bundestags sowie das Parlamentarische Kontrollgremium der Frage annehmen, wie "Süddeutsche Zeitung" schreibt.

Zwischenzeitlich nahm die Pariser Staatsanwaltschaft die Ermittlungen rund um die Pegasus-Software auf. In Spanien erstattete ein mutmasslich betroffener Journalist Anzeige und die Journalistenorganisation "Reporter ohne Grenzen" kündigte Klagen in weiteren Ländern an, wie es weiter heisst.

Update vom 22. Juli 2021: Pariser Staatsanwaltschaft startet Untersuchung zu "Pegasus". Die Staatsanwaltschaft in Paris will die "betrügerische Gewinnung und Weitergabe von Daten" durch die Pegasus-Software ermitteln und leitet dahingehend eine Untersuchung ein. Dies aufgrund einer Anzeige zweier betroffener Journalisten sowie dem Verlag der Plattform "Mediapart", wie "ICT-Channel" berichtet. Eine Spezialeinheit der Polizei für Kriminalität in der Informations- und Kommunikationstechnik werde die Untersuchungen führen. Dabei sei auch Angriff auf Privatsphäre ein Thema. Gemäss "Mediapart" seien die beiden Reporter im Zeitraum von 2019 bis 2020 mit der Pegasus-Software überwacht worden. Das Verlagshaus mache Geheimdienste in Marokko verantwortlich; die Staatsanwaltschaft habe sich zu diesen Anschuldigungen nicht geäussert.

Die Vereinten Nationen (UN) sollen sich indes in Bezug auf die Enthüllungen an die US-Regierung gewandt haben. Man sei in Kontakt mit den Behörden des Gastlandes, sagte UN-Sprecher Farhan Haq der Deutschen Presse-Agentur, liess aber offen, ob auch ranghohe Vertreter der UN respektive Generalsekretär António Guterres betroffen sind. "Wir betrachten jede gemeldete Verletzung der Kommunikation von UN-Beamten als Anlass zur Sorge", zitiert "ICT-Channel" Haq weiter. Das Sekretariat werde alle erforderlichen Massnahmen ergreifen, um die Sicherheit seiner Kommunikationssysteme zu gewährleisten.

Update vom 20. Juli 2021: Amazon Web Services (AWS) hat Accounts gesperrt, die mit NSO, der Firma hinter dem "Pegasus"-Trojaner, in Verbindung stehen sollen. Wie "The Verge" berichtet, habe die Firma Dienste von AWS sowie Amazon CloudFront genutzt, um die Software in die Smartphones ihrer Überwachungsziele einzuschleusen. Damit habe NSO mehrere Erkennungstechniken im Internet umgehen können, wie "The Verge" unter Berufung auf Amnesty International schreibt. "Als wir von dieser Aktivität erfuhren, haben wir schnell gehandelt und die entsprechende Infrastruktur und Konten abgeschaltet", wird ein Sprecher von AWS zitiert.

Amnesty beschreibt indes in einem ausführlichen Bericht, wie die israelische Firma respektive deren Kunden vorgehen, um den Trojaner anzubringen. Darin listet die Organisation unter anderem zahlreiche URLs und E-Mail-Adressen, die zum Einsatz kommen, um die Software auf dem Zielgerät zu installieren. Darüber hinaus habe NSO in den letzten Jahren auch Schwachstellen in den iOS-Anwendungen Apple Photos, Apple Music und iMessage ausgenutzt. Auch Dienste von Firmen wie DigitalOcean and Linode habe die Firma verwendet.

Weiter habe die Firma vorwiegend europäische Server verwendet, um die Angriffsinfrastruktur zu hosten. Die meisten befinden sich laut Amnesty in Deutschland (212); auch 36 Schweizer Server habe NSO genutzt. Die übrigen Server befinden sich in anderen europäischen Ländern sowie in Nordamerika und Asien. Amnesty listet alle Indicators of Compromise (IoC) auf GitHub und stellt dort auch ein Tool bereit, um solche Indikatoren eines potenziellen Angriffs auf dem Smartphone nachzuweisen.

Originalmeldung vom 19. Juli 2021: Trojaner "Pegasus" überwacht hunderte Journalisten und Politiker

Ein trojanisches Pferd mit Flügeln, das direkt auf das Handy fliegt - so beschreibt Shalev Hulio, Chef von NSO, die Software Pegasus. Kunden der israelischen Sicherheitsfirma sollen den Spionage-Trojaner einsetzen, um die Smartphones von Journalisten, Politikern und Menschenrechtsaktivisten abzuhören, wie unter anderem "Der Standard" berichtet. Ein internationales Journalistenkonsortium machte dies nun öffentlich. NSO verkauft "Pegasus" offiziell nur an staatliche Stellen - diese sollen die Software zur Prävention von Terroranschlägen einsetzen. Gemäss dem Konsortium gebe es jedoch Hinweise darauf, dass autoritäre Regimes den Trojaner zur Überwachung von Oppositionellen und Dissidenten einsetzen.

Liste mit 50'000 Telefonnummern geleakt

Unter Experten soll Pegasus als effektivste Überwachungssoftware für Smartphones gelten und als Cyberwaffe eingestuft sein. Dem Journalistenkonsortium, das sich selbst als "Pegasus-Projekt" bezeichnet, liege indes eine geleakte Liste mit 50'000 Telefonnummern potenzieller Überwachungsziele vor. Darunter seien auch mehr als 180 Journalistinnen und Journalisten, etwa von Le Monde und CNN. Auf 37 Smartphones seien tatsächlich Spuren des Trojaners gefunden worden, wie auch "SRF" schreibt. Auch zwei Reporter des ungarischen Investigativmediums "Direkt 36" seien betroffen. Gemäss "Der Standard" liegt der Verdacht nahe, dass die ungarische Regierung für die Angriffe verantwortlich sei. Ein Sprecher des Büros von Ministerpräsident Viktor Orban habe dies auf Nachfrage nicht dementiert, jedoch betont, Ungarn setze solche Methoden nur "im gesetzlichen Rahmen" ein.

Auch im Umfeld des im Oktober 2018 in der saudischen Botschaft in Istanbul ermordeten saudischen Journalisten Jamal Kashoggi soll "Pegasus" zum Einsatz gekommen sein. Vier Tage nach Kashoggis Ermordung sei der Trojaner auf dem Smartphone seiner Verlobten installiert worden, schreibt "Der Standard" weiter. NSO beteuert, es gebe keinerlei Zusammenhänge mit dem Mord des Regierungskritikers in Istanbul.

"Lebensrettende Mission"

Die Erfassung von Telefonnummern müsse jedoch nicht zwingend etwas mit Überwachung zu tun haben - das schreibt zumindest ein US-amerikanischer Anwalt im Auftrag von NSO in einem Statement, wie die "Tagesschau" berichtet. Die Erfassung habe "legitime und vollständig saubere Anwendungsmöglichkeiten", heisst es weiter. Auch über den Erfolg im Einsatz von Spionagesoftware sage dies nichts aus, wird der Anwalt zitiert. "Die Wahrheit ist, die Technologien der NSO Group haben geholfen, Terrorangriffe, Waffengewalt, Auto-Explosionen und Selbstmordanschläge zu verhindern", teilte demnach auch die Firma selbst mit. Als weitere Einsatzgebiete erwähnt NSO die Zerschlagung von Menschen- und Drogenhandelsringen. Das Unternehmen sieht sich damit auf "lebensrettender Mission".

So fliegt "Pegasus" aufs Handy

Die "Tagesschau" beschreibt unterschiedliche Wege, wie die Software das Smartphone des Überwachungsziels infiziert. Einer davon sei die "klassische" Methode, einen Trojaner auf dem Gerät des Opfers zu installieren. Dabei erhält das Opfer eine E-Mail oder SMS, die auch eine URL enthält. Ein Klick darauf startet den Download des Trojaners. NSO soll seinen Kunden eine Art "Baukasten" bereitstellen, um solche Nachrichten so realistisch wie möglich wirken zu lassen. Die Firma habe aber auch einen Weg gefunden, jegliches "Mitwirken" des Opfers in der Installation der Software zu umgehen. Auch hierbei werde eine Nachricht verschickt - diese werde der betroffenen Person jedoch nicht angezeigt, das Gerät soll den Download von alleine starten. Die Experten von Amnesty International wiesen dies gemäss "Tagesschau" auf mehreren iPhone-Geräten nach.

Weiter soll das Programm von NSO Sicherheitslücken in mobilen Betriebssystemen ausnutzen, sowohl auf Android als auch in iOS. Dabei handle es sich um Zero-Day-Exploits - also Schwachstellen, die ausgenutzt werden können, bevor die Hersteller darauf aufmerksam werden. IT-Forschenden der Universität Toronto zufolge habe "Pegasus" drei solcher Exploits hintereinander ausgenutzt, um Zugriff auf ein Telefon zu bekommen. Hacker suchen immer wieder nach solchen Schwachstellen und verkaufen diese an Geheimdienste und Firmen - darunter eben auch NSO. Die Software könne gemäss "Tagesschau" nicht nur Überwachungsmassnahmen ausführen, sondern auch wichtige Systemupdates unterdrücken, die ebensolche Lücken schliessen würden.

Auch Windows war Anfang Juli 2021 von einem solchen Zero-Day-Exploit betroffen - Forschende hatten den Code dazu versehentlich ins Netz gestellt. Microsoft hat mittlerweile Patches für die Schwachstelle veröffentlicht, wie Sie hier lesen können.

Auch über das Netzwerk soll sich "Pegasus" im Smartphone des Überwachungsziels einnisten können. NSO verkaufe sogenannte IMSI-Catcher (International Mobile Subscriber Identity), also Geräte, die vorgeben, ein Mobilfunkmast zu sein. Da das Signal dieser Geräte stärker ist als jenes aller umliegenden Netzmasten, verbindet sich das Smartphone des Opfers automatisch damit. Der IMSI-Catcher schaltet sich quasi zwischen Netzmast und Smartphone - und "Pegasus" hat freie Flugbahn.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_223208