Eilmeldungen
Aktuelle Nachrichten

Aktuelle Nachrichten

Menü

Horst D. Deckert

Spyware „Candiru“ an der Angel

Ein weiterer Anbieter von Spyware für Söldner gerät ins Visier

Von Bill Marczak, John Scott-Railton, Kristin Berdan, Bahr Abdul Razzak und Ron Deibert

  • Candiru ist ein geheimnisvolles Unternehmen mit Sitz in Israel, das Spyware ausschließlich an Regierungen verkauft. Berichten zufolge kann ihre Spyware iPhones, Androiden, Macs, PCs und Cloud-Konten infizieren und überwachen.
  • Durch Internet-Scans haben wir mehr als 750 Websites identifiziert, die mit der Spyware-Infrastruktur von Candiru verbunden sind. Wir fanden viele Domains, die sich als Interessenvertretungsorganisationen wie Amnesty International, die Black-Lives-Matter-Bewegung sowie Medienunternehmen und andere zivilgesellschaftliche Organisationen ausgaben.
  • Wir identifizierten ein politisch aktives Opfer in Westeuropa und stellten eine Kopie der Windows-Spionagesoftware von Candiru sicher.
  • In Zusammenarbeit mit dem Microsoft Threat Intelligence Center (MSTIC) analysierten wir die Spyware, was zur Entdeckung von CVE-2021–31979 und CVE-2021–33771 durch Microsoft führte, zwei Schwachstellen zur Privilegienerweiterung, die von Candiru ausgenutzt wurden. Microsoft hat beide Sicherheitslücken am 13. Juli 2021 gepatcht.
  • Im Rahmen der Untersuchung beobachtete Microsoft mindestens 100 Opfer in Palästina, Israel, Iran, Libanon, Jemen, Spanien, Großbritannien, Türkei, Armenien und Singapur. Zu den Opfern gehören Menschenrechtsverteidiger, Dissidenten, Journalisten, Aktivisten und Politiker.
  • Wir geben einen kurzen technischen Überblick über den Persistenz-Mechanismus der Candiru-Spyware und einige Details über die Funktionalität der Spyware.
  • Candiru hat sich bemüht, seine Eigentümerstruktur, Personalausstattung und Investitionspartner zu verschleiern. Dennoch konnten wir in diesem Bericht etwas Licht in diese Bereiche bringen.

Wer ist Candiru?



Das als „Candiru“ bekannte Unternehmen mit Sitz in Tel Aviv, Israel, ist eine Söldner-Spyware-Firma, die „unauffindbare“ Spyware an Regierungskunden vertreibt. Ihr Produktangebot umfasst Lösungen zum Ausspionieren von Computern, mobilen Geräten und Cloud-Konten.

Eine bewusst undurchsichtige Unternehmensstruktur

Candiru ist bestrebt, seinen Betrieb, seine Infrastruktur und die Identität seiner Mitarbeiter für die Öffentlichkeit undurchsichtig zu halten. Candiru Ltd. wurde im Jahr 2014 gegründet und hat mehrere Namensänderungen durchlaufen (siehe: Tabelle 1). Wie viele andere Söldner-Spionageunternehmen rekrutiert sich das Unternehmen Berichten zufolge aus den Reihen der Einheit 8200, der Signalaufklärungseinheit der israelischen Verteidigungsstreitkräfte.

Obwohl der aktuelle Name der Firma Saito Tech Ltd lautet, werden wir sie als „Candiru“ bezeichnen, da sie unter diesem Namen am bekanntesten ist. Das Firmenlogo scheint eine Silhouette des angeblich furchterregenden Candiru-Fisches in Form des Buchstabens „C“ zu sein.

Gemeldete Umsätze und Investitionen

Laut einer Klage eines ehemaligen Mitarbeiters hatte Candiru innerhalb von zwei Jahren nach der Gründung einen Umsatz von „fast 30 Millionen Dollar“. Die angeblichen Kunden der Firma befinden sich in „Europa, der ehemaligen Sowjetunion, dem Persischen Golf, Asien und Lateinamerika“. Zusätzlich wurden Berichte über mögliche Geschäfte mit mehreren Ländern veröffentlicht:

  • Usbekistan: In einer Präsentation auf der Sicherheitskonferenz Virus Bulletin im Jahr 2019 erklärte ein Kaspersky Lab-Forscher, dass Candiru seine Spyware wahrscheinlich an den Nationalen Sicherheitsdienst Usbekistans verkauft hat.
  • Saudi-Arabien und die Vereinigten Arabischen Emirate: In derselben Präsentation wurden auch Saudi-Arabien und die VAE als wahrscheinliche Candiru-Kunden genannt.
  • Singapur: In einem Bericht von Intelligence Online aus dem Jahr 2019 wird erwähnt, dass Candiru aktiv um Aufträge von Singapurs Geheimdiensten warb.
  • Katar: Ein Bericht von Intelligence Online aus dem Jahr 2020 stellt fest, dass Candiru „näher an Katar herangerückt ist.“ Ein Unternehmen, das mit dem Staatsfonds von Katar verbunden ist, hat in Candiru investiert. Es sind noch keine Informationen über in Katar ansässige Kunden aufgetaucht,

Candirus Spyware-Angebote

Ein durchgesickerter Projektvorschlag von Candiru, der von TheMarker veröffentlicht wurde, zeigt, dass die Spyware von Candiru über eine Reihe verschiedener Vektoren installiert werden kann, darunter bösartige Links, Man-in-the-Middle-Angriffe und physische Angriffe. Es wird auch ein Vektor namens „Sherlock“ angeboten, der angeblich unter Windows, iOS und Android funktioniert. Dabei handelt es sich möglicherweise um einen browserbasierten Zero-Click-Vektor.

Der 16-Millionen-Euro-Projektvorschlag erlaubt eine unbegrenzte Anzahl von Spyware-Infektionsversuchen, aber die Überwachung von nur 10 Geräten gleichzeitig. Für zusätzliche 1,5 Millionen Euro kann der Kunde die Fähigkeit erwerben, 15 zusätzliche Geräte gleichzeitig zu überwachen und Geräte in einem einzigen zusätzlichen Land zu infizieren. Für weitere 5,5 Mio. € kann der Kunde 25 zusätzliche Geräte gleichzeitig überwachen und in fünf weiteren Ländern Spionage betreiben.

Der Vorschlag besagt, dass die Spyware private Daten aus einer Reihe von Apps und Konten exfiltrieren kann, darunter Gmail, Skype, Telegram und Facebook. Die Spyware kann auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon des Ziels einschalten und Bilder vom Bildschirm machen. Das Erfassen von Daten aus zusätzlichen Apps, wie Signal Private Messenger, wird als Add-on verkauft.

Für eine weitere Zusatzgebühr von 1,5 Mio. € können Kunden eine Remote-Shell-Fähigkeit erwerben, die ihnen vollen Zugriff auf die Ausführung beliebiger Befehle oder Programme auf dem Computer der Zielperson ermöglicht. Diese Art von Fähigkeit ist besonders besorgniserregend, da sie auch zum Herunterladen von Dateien, z. B. zum Einpflanzen von belastendem Material, auf ein infiziertes Gerät verwendet werden könnte.

Schlussfolgerung

Die offensichtlich weit verbreitete Präsenz von Candiru und der Einsatz seiner Überwachungstechnologie gegen die globale Zivilgesellschaft ist eine eindringliche Erinnerung daran, dass es in der Branche der Söldner-Spionageprogramme viele Akteure gibt und dass sie für weit verbreiteten Missbrauch anfällig ist. Dieser Fall zeigt einmal mehr, dass Spyware-Anbieter in Ermangelung internationaler Sicherheitsvorkehrungen oder strenger staatlicher Exportkontrollen an Regierungskunden verkaufen werden, die ihre Dienste routinemäßig missbrauchen. Vielen Regierungen, die begierig darauf sind, ausgefeilte Überwachungstechnologien zu erwerben, fehlt es an robusten Schutzmaßnahmen für ihre in- und ausländischen Sicherheitsbehörden. Viele zeichnen sich durch eine schlechte Menschenrechtsbilanz aus. Es ist nicht verwunderlich, dass diese Art von Regierungskunden in Ermangelung strenger gesetzlicher Beschränkungen Spionagedienste missbrauchen, um Journalisten, politische Oppositionelle, Menschenrechtsverteidiger und andere Mitglieder der globalen Zivilgesellschaft zu überwachen.

Die Zivilgesellschaft im Fadenkreuz…wieder

Das offensichtliche Anvisieren einer Person aufgrund ihrer politischen Überzeugungen und Aktivitäten, die weder terroristischer noch krimineller Natur sind, ist ein beunruhigendes Beispiel für diese gefährliche Situation. Beunruhigend ist auch die unabhängige Analyse von Microsoft, die mindestens 100 Opfer von Candirus Malware-Operationen feststellt, darunter „Politiker, Menschenrechtsaktivisten, Journalisten, Akademiker, Botschaftsmitarbeiter und politische Dissidenten.“

Ebenso beunruhigend ist in diesem Zusammenhang die Registrierung von Domains durch Candiru, die sich als Menschenrechts-NGOs (Amnesty International), legitime soziale Bewegungen (Black Lives Matter), internationale Gesundheitsorganisationen (WHO), Frauenrechtsthemen und Nachrichtenorganisationen ausgeben. Obwohl uns der Kontext zu den spezifischen Anwendungsfällen im Zusammenhang mit diesen Domains fehlt, ist ihr bloßes Vorhandensein als Teil der Candiru-Infrastruktur – angesichts der weit verbreiteten Schäden gegen die Zivilgesellschaft im Zusammenhang mit der globalen Spyware-Industrie – höchst besorgniserregend und ein Bereich, der eine weitere Untersuchung verdient.

Behebung von Schäden im Zusammenhang mit dem kommerziellen Spyware-Markt

Letztendlich erfordert die Bekämpfung der Missbräuche der Spyware-Industrie einen robusten, umfassenden Ansatz, der über die Bemühungen hinausgeht, die sich auf ein einzelnes hochrangiges Unternehmen oder Land konzentrieren. Leider hat sich das israelische Verteidigungsministerium – von dem in Israel ansässige Unternehmen wie Candiru eine Exportlizenz erhalten müssen, bevor sie ins Ausland verkaufen dürfen – bisher als nicht gewillt erwiesen, Überwachungsunternehmen der Art von strenger Prüfung zu unterziehen, die erforderlich wäre, um Missbräuche der Art zu verhindern, die wir und andere Organisationen festgestellt haben. Der Exportlizenzierungsprozess in diesem Land ist fast völlig undurchsichtig und lässt selbst die grundlegendsten Maßnahmen der öffentlichen Rechenschaftspflicht oder Transparenz vermissen. Wir hoffen, dass Berichte wie dieser die politischen Entscheidungsträger und Gesetzgeber in Israel und anderswo anspornen werden, mehr zu tun, um die zunehmenden Schäden zu verhindern, die mit einem unregulierten Spyware-Markt verbunden sind.

Es lohnt sich, auf die wachsenden Risiken hinzuweisen, denen Spyware-Anbieter und ihre Eigentümergruppen selbst als Folge ihrer eigenen rücksichtslosen Verkäufe ausgesetzt sind. Söldnerische Spyware-Anbieter wie Candiru vermarkten ihre Dienste gegenüber ihren Regierungskunden als „unauffindbare“ Tools, die sich der Entdeckung entziehen und so verhindern, dass die Aktivitäten ihrer Kunden aufgedeckt werden. Unsere Untersuchungen zeigen jedoch einmal mehr, wie fadenscheinig diese Behauptungen sind. Obwohl es manchmal schwierig ist, ist es für Forscher möglich, gezielte Spionage mit einer Vielzahl von Netzwerküberwachungs- und anderen Untersuchungstechniken zu erkennen und aufzudecken, wie wir in diesem Bericht (und anderen ähnlichen Berichten) gezeigt haben. Selbst die bestausgestatteten Überwachungsfirmen machen Bedienungsfehler und hinterlassen digitale Spuren, was ihre Marketingaussagen, sie seien heimlich und unauffindbar, höchst fragwürdig macht. In dem Maße, in dem ihre Produkte in erhebliche Schäden oder Fälle von unrechtmäßigem Targeting verwickelt sind, kann die negative Enthüllung, die aus der Untersuchung des öffentlichen Interesses resultiert, zu erheblichen Haftungen für Eigentümer, Aktionäre und andere Personen führen, die mit diesen Spyware-Unternehmen verbunden sind.

Schließlich zeigt dieser Fall den Wert eines gemeinschaftsweiten Ansatzes bei Untersuchungen zu gezielter Spionage. Um die von dieser Industrie verursachten Schäden für unschuldige Mitglieder der globalen Zivilgesellschaft zu beheben, ist die Zusammenarbeit zwischen akademischen Forschern, Netzwerkverteidigern, Bedrohungsaufklärungsteams und Technologieplattformen entscheidend. Unsere Forschung stützte sich auf mehrere Datenquellen, die von anderen Gruppen und Einrichtungen, mit denen wir zusammenarbeiteten, kuratiert wurden, und trug letztendlich dazu bei, Software-Schwachstellen in einem weit verbreiteten Produkt zu identifizieren, die dem Hersteller gemeldet und dann von ihm gepatcht wurden.

 

Diese Seite und ihre Inhalte sind unter einer Creative Commons Attribution 2.5 Canada Lizenz lizenziert.

Munk School of Global Affairs & Public Policy | Universität von Toronto

Weiterlesen bei: CitizenLab

Vorheriger Beitrag Willkommenskultur am Ende
Nächster Beitrag Herbst 2021: Geplant – Neuer HAMMER-LOCKDOWN für Deutschland!

Ähnliche Nachrichten