Ein Konsortium von Medien, darunter Le Monde und die investigative Abteilung von Radio France, koordiniert durch die Organisation Forbidden Stories, verschaffte sich über die israelische Software Pegasus Zugang zu mehr als 50’000 Telefonnummern. Diese wurden möglicherweise von einem Dutzend Staaten ins Visier genommen und ausspioniert.
Der Fall erregt Aufsehen, weil Journalisten, Wirtschaftsführer, Oppositionspolitiker und andere Personen des öffentlichen Lebens davon betroffen sind. Werfen wir einen Blick auf die Technologie hinter dieser Software. Wann wurde Pegasus geboren? Wie wird es verwendet? Warum ist es so populär geworden?
Wie Pegasus funktioniert
Die Pegasus-Software wurde von der israelischen Firma NSO Group entwickelt. Es handelt sich um eine Spyware für Smartphones, deren Ziel es ist, sämtliche Daten abzuschöpfen: GPS-Koordinaten, Nachrichteninhalte, das Abhören von Anrufen – kurzum: Alles, was Ihr Handy durchläuft, wird von der Software gesehen, gelesen, gehört und an den Benutzer (den Angreifer) übermittelt. Diese Spyware wird seit einigen Jahren weiterentwickelt und hat sich an die veränderten Sicherheitsstufen von Smartphones angepasst.
In den Vorgängerversionen verschickte der Angreifer eine Nachricht mit einem Link. Klickte der Benutzer darauf, löste er die Installation von Pegasus aus. Diese Technik ist etwas grob und kann bei Personen funktionieren, die nicht an Cybersicherheit gewöhnt oder darin geschult sind. Aber bei anspruchsvolleren Zielen (seien sie öffentlich oder privat) muss anders vorgegangen werden: Daher hat NSO eine neue Version entwickelt, die in der Lage ist, den «Bug» ohne Klick zu installieren, was als «Zero Click»-Angriff bezeichnet wird.
Wie kann man Software ohne Wissen des Telefonbesitzers installieren? Indem Sicherheitslücken im Gerät ausgenützt werden. So kann für kurze Zeit die Kontrolle über das Telefon übernommen und die Spyware aus der Ferne installiert werden.
Sicherheitslücken ausnützen
Sicherheitslücken können sich bereits aus der Hardware ergeben, beispielsweise aufgrund des Mikrochips. Oder sie kommen von der Software, über die Betriebssysteme iOS oder Android. Die Kunden von NSO – in der Regel Staaten – müssen nicht selbst nach Schwachstellen suchen. Sie benötigen nur die Telefonnummer des Ziels und Pegasus kümmert sich um das Hacken und die Daten-Exfiltration. Für jedes Target zahlt der Kunde eine Lizenzgebühr von mehreren zehntausend Euro an NSO.
In der Regel wird auf «Zero-Day»-Schwachstellen gezielt. Diese heissen so, weil sie noch nie veröffentlicht oder ausgenutzt wurden. Kommerziell erhältliche Software ist in der Regel fehlerhaft. Deshalb veranstalten ihre Hersteller regelmässig Wettbewerbe, bei denen Hacker sie aufdecken können. Wenn jemand eine Schwachstelle entdeckt, kann er sie auf «Zero-Day-Märkten» verkaufen. Dies ist wie eine internationale Börse, bei der die Produkte Schwachstellen sind.
In der Regel werden die Ergebnisse der Hacker von den Herstellern selbst gekauft, die ein Interesse daran haben, sie so schnell wie möglich zu beheben. Ein Fehler in einem iOS-Betriebssystem kann für mehrere Millionen Dollar gehandelt werden. Diese Geschäfte sind legal. Das Ziel ist es, zu verhindern, dass ein Hacker, der einen Fehler gefunden hat, diesen an eine cyberkriminelle Gruppe verkauft.
Über ein konkretes Beispiel berichtete The Citizen Lab (das Laboratorium von Amnesty International und der Universität Toronto, das den jüngsten Skandal aufarbeitete) Ende 2020. Der investigative Journalist Tamer Almisshal vermutete, dass sein Telefon gehackt wurde. Um das zu beweisen, zeichnete das Labor alle seine Metadaten auf, um nachzuvollziehen, womit es sich verbunden hat. Sie fanden einige sehr verdächtige Verbindungen: Sein Telefon besuchte mehrmals eine Seite, die als Pegasus-Installationsmodus bekannt war.
Dieser Besuch wurde angeblich von den Hackern provoziert, indem sie eine Schwachstelle im Nachrichtensystem des iPhones ausnutzten (eine Schwachstelle, die inzwischen behoben wurde). Der Journalist klickte auf keine verdächtigen Links, es war ein «Zero-Click»-Angriff. Es zeigte sich auch, dass Daten exfiltriert wurden. NSO stritt jegliche Beteiligung ab.
Datenexfiltration
Sobald Pegasus installiert ist, muss es die Daten an den Überwacher zurücksenden. Wie macht es das? Befindet sich der «Hacker» zum Beispiel physisch in der Nähe seines Ziels, ist es möglich, die Daten über «Radiofrequenz»-Techniken abzurufen. Das Telefon sendet Informationen aus, beispielsweise über Wi-Fi, die von einer Antenne aufgefangen werden.
Sicherheitslücken in SIM-Karten können von einem Angreifer ausgenutzt werden, um die Kontrolle über das Handy zu übernehmen oder um Spyware zu installieren. Zum Beispiel betrifft der sogenannte SIMjacker-Fehler mehr als eine Milliarde Telefone. Es ermöglicht einem Angreifer, die volle Kontrolle über ein Smartphone zu übernehmen. Konkret sendet der Angreifer eine SMS mit einem bestimmten Code, der die SIM-Karte anweist, die Kontrolle über das Telefon zu übernehmen und bestimmte Befehle auszuführen, wodurch Daten exfiltriert werden.
Es ist auch möglich, herkömmliche 3G- oder 4G-Verbindungen zu nutzen. Wenn sich das Telefon in Gebieten mit begrenzter Bandbreite befindet, wird die Übertragung zwar länger dauern, aber es wird trotzdem möglich sein, Daten zu exfiltrieren.
Man könnte meinen, dass massive Datenübertragungen vom Benutzer durch Beobachtung seiner Datenströme erkannt werden können. Hier ist Pegasus aber sehr geschickt, denn es kann unbemerkt agieren. Die vom Telefon gesendeten Daten werden verschlüsselt, so dass es keine Möglichkeit gibt, zu erfahren, was gesendet wurde.
Darüber hinaus werden diese Übertragungen mit Ihren eigenen Datenübertragungen vermischt. Wenn Sie zum Beispiel eine Online-Zahlung vornehmen, senden Sie verschlüsselte Daten an Ihre Bank oder an Ihren Lieferanten, und diesen Punkt nutzt die Software aus, um Informationen an den Angreifer zu senden.
Es ist daher sehr schwierig, zu erfahren, was gesendet wurde, wenn man einmal Opfer eines Angriffs geworden ist. Zumal sich Pegasus nach Beendigung der Mission selbst zerstören kann, ohne Spuren zu hinterlassen, so der Hersteller.
Letzteren Angaben widerspricht Amnesty International. Nach eigenen Angaben wurden Spuren der Software bei der Analyse der sogenannten Ereignisprotokolle auf mehreren Telefonen entdeckt.
Im Allgemeinen ist die nachträgliche Analyse der Funktionsweise solcher Spyware immer noch sehr komplex und schwierig durchzuführen. In ähnlicher Weise erfordert die detaillierte Untersuchung eines Angriffs erhebliche technische und analytische Ressourcen, einschliesslich hochqualifizierten Personals und Zeit.
Es ist ratsam, vorsichtig zu bleiben. Auch mit Beschuldigungen oder Behauptungen bezüglich Angriffen auf das eigene Handy, weil der Einsatz dieser versteckten Software so schwer nachweisbar ist.
*********
Thierry Berthier, der Autor dieses Artikels, ist Dozent für Mathematik, Cybersicherheit und Cyber Defence und Inhaber des Saint-Cyr-Lehrstuhls für Cyber Defence an der Universität Limoges.
Dieser Text wurde uns von Bon pour la tête zur Verfügung gestellt, dem führenden alternativen Medium der französischsprachigen Schweiz. Von Journalisten für wache Menschen.
