Was ist Pegasus-Spyware und wie hackt sie Telefone?

0

Es ist der Name für die vielleicht mächtigste Spyware, die jemals entwickelt wurde – sicherlich von einem privaten Unternehmen.Sobald es sich auf Ihr Telefon eingeschlichen hat, ohne dass Sie es bemerken, kann es zu einem 24-Stunden-Überwachungsgerät werden.Es kann Nachrichten kopieren, die Sie senden oder empfangen, Ihre Fotos sammeln und Ihre Anrufe aufzeichnen.Es könnte Sie heimlich durch die Kamera Ihres Telefons filmen oder das Mikrofon aktivieren, um Ihre Gespräche aufzuzeichnen.Es kann möglicherweise genau bestimmen, wo Sie sind, wo Sie waren und wen Sie kennengelernt haben.

Pegasus ist die Hacking-Software – oder Spyware – die vom israelischen Unternehmen NSO Group entwickelt, vermarktet und an Regierungen auf der ganzen Welt lizenziert wird.Es kann Milliarden von Telefonen mit iOS- oder Android-Betriebssystemen infizieren.

Die früheste Version von Pegasus, die 2016 von Forschern entdeckt wurde, infizierte Telefone durch sogenanntes Spear-Phishing – Textnachrichten oder E-Mails, die ein Ziel dazu verleiten, auf einen schädlichen Link zu klicken.

Was steckt hinter dem Datenleck?

Bei dem Datenleck handelt es sich um eine Liste von mehr als 50.000 Telefonnummern, von denen angenommen wird, dass sie seit 2016 von Regierungskunden der NSO Group, die Überwachungssoftware verkauft, als die von Personen von Interesse ausgewählt wurden.Die Daten enthalten auch die Uhrzeit und das Datum, an dem Nummern ausgewählt oder in ein System eingegeben wurden.Forbidden Stories, eine in Paris ansässige Non-Profit-Journalismus-Organisation, und Amnesty International hatten zunächst Zugriff auf die Liste und gemeinsam mit 16 Medienorganisationen, darunter dem Guardian, Zugang.Mehr als 80 Journalisten haben im Rahmen des Pegasus-Projekts über mehrere Monate zusammengearbeitet.Das Security Lab von Amnesty, ein technischer Partner des Projekts, führte die forensischen Analysen durch.

Worauf weist das Leck hin?

Das Konsortium ist der Ansicht, dass die Daten auf potenzielle Ziele hinweisen, die die Regierungskunden von NSO im Vorfeld einer möglichen Überwachung identifiziert haben.Die Daten sind zwar ein Hinweis auf eine Absicht, aber das Vorhandensein einer Zahl in den Daten gibt keinen Aufschluss darüber, ob versucht wurde, das Telefon mit Spyware wie Pegasus, dem Signaturüberwachungstool des Unternehmens, zu infizieren, oder ob ein Versuch erfolgreich war.Das Vorhandensein einer sehr kleinen Anzahl von Festnetz- und US-Nummern in den Daten, auf die NSO sagt, dass sie mit ihren Tools „technisch unmöglich“ sind, zeigt, dass einige Ziele von NSO-Kunden ausgewählt wurden, obwohl sie nicht mit Pegasus infiziert werden konnten.Forensische Untersuchungen einer kleinen Stichprobe von Mobiltelefonen mit Nummern auf der Liste ergaben jedoch enge Korrelationen zwischen der Uhrzeit und dem Datum einer Nummer in den Daten und dem Beginn der Pegasus-Aktivität – in einigen Fällen nur wenige Sekunden.

Was hat die forensische Analyse ergeben?

Amnesty hat 67 Smartphones untersucht, auf denen Angriffe vermutet wurden.Davon wurden 23 erfolgreich infiziert und 14 zeigten Anzeichen eines Penetrationsversuchs.Bei den verbleibenden 30 waren die Tests ergebnislos, in mehreren Fällen, weil die Mobilteile ausgetauscht wurden.Fünfzehn der Telefone waren Android-Geräte, von denen keines Anzeichen einer erfolgreichen Infektion zeigte.Im Gegensatz zu iPhones protokollieren Telefone mit Android jedoch nicht die Arten von Informationen, die für die Detektivarbeit von Amnesty erforderlich sind.Drei Android-Handys zeigten Anzeichen von Targeting, wie zum Beispiel mit Pegasus verknüpfte SMS-Nachrichten.

Amnesty hat dem Citizen Lab, einer auf die Untersuchung von Pegasus spezialisierten Forschungsgruppe an der University of Toronto, „Sicherungskopien“ von vier iPhones zur Verfügung gestellt, die bestätigten, dass sie Anzeichen einer Pegasus-Infektion aufwiesen.Citizen Lab führte auch eine Peer-Review der forensischen Methoden von Amnesty durch und stellte fest, dass sie solide sind.

Welche NSO-Clients wählten Nummern aus?

Obwohl die Daten in Clustern organisiert sind, die auf einzelne NSO-Clients hinweisen, wird nicht angegeben, welcher NSO-Client für die Auswahl einer bestimmten Nummer verantwortlich war.NSO behauptet, seine Tools an 60 Kunden in 40 Ländern zu verkaufen, weigert sich jedoch, sie zu identifizieren.Durch eine genaue Untersuchung des Zielmusters einzelner Kunden in den durchgesickerten Daten konnten die Medienpartner 10 Regierungen identifizieren, von denen angenommen wird, dass sie für die Auswahl der Ziele verantwortlich sind: Aserbaidschan, Bahrain, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Ungarn, Indien, und die Vereinigten Arabischen Emirate.Citizen Lab hat auch Beweise dafür gefunden, dass alle 10 Kunden von NSO sind.

Was sagt die NSO Group?

Die vollständige Erklärung der NSO Group können Sie hier lesen.Das Unternehmen hat immer gesagt, dass es keinen Zugriff auf die Daten der Ziele seiner Kunden hat.Über seine Anwälte sagte NSO, das Konsortium habe „falsche Annahmen“ darüber getroffen, welche Kunden die Technologie des Unternehmens verwenden.Es hieß, die Zahl von 50.000 sei „übertrieben“ und die Liste könne keine Liste von Zahlen sein, die „von Regierungen mit Pegasus ins Visier genommen werden“.Nach weiteren Fragen sagten die Anwälte, dass das Konsortium seine Ergebnisse „auf irreführender Interpretation von durchgesickerten Daten aus zugänglichen und offenkundigen Basisinformationen wie HLR-Lookup-Diensten beruhe, die keinen Einfluss auf die Liste der Kundenziele von Pegasus oder anderen haben“.andere NSO-Produkte … wir sehen immer noch keine Korrelation dieser Listen mit irgendetwas im Zusammenhang mit der Nutzung von Technologien der NSO Group“.

Was sind HLR-Suchdaten?

Der Begriff HLR oder Home Location Register bezeichnet eine Datenbank, die für den Betrieb von Mobilfunknetzen unerlässlich ist.Solche Register führen Aufzeichnungen über die Netze von Telefonbenutzern und ihre allgemeinen Standorte zusammen mit anderen identifizierenden Informationen, die routinemäßig bei der Weiterleitung von Anrufen und Texten verwendet werden.Telekommunikations- und Überwachungsexperten sagen, dass HLR-Daten manchmal in der frühen Phase eines Überwachungsversuchs verwendet werden können, um festzustellen, ob eine Verbindung zu einem Telefon möglich ist.Das Konsortium weiß, dass NSO-Clients über eine Schnittstelle im Pegasus-System die Möglichkeit haben, HLR-Suchanfragen durchzuführen.Es ist unklar, ob Pegasus-Betreiber verpflichtet sind, HRL-Suchanfragen über ihre Schnittstelle durchzuführen, um ihre Software zu verwenden;eine NSO-Quelle betonte, dass ihre Kunden unterschiedliche Gründe haben könnten – unabhängig von Pegasus – für die Durchführung von HLR-Lookups über ein NSO-System.

Seitdem sind die Angriffsmöglichkeiten von NSO jedoch weiter fortgeschritten.Pegasus-Infektionen können durch sogenannte „Zero-Click“-Angriffe erreicht werden, die keine Interaktion des Telefonbesitzers erfordern, um erfolgreich zu sein.Diese nutzen oft „Zero-Day“-Schwachstellen aus, das sind Fehler oder Bugs in einem Betriebssystem, die dem Hersteller des Mobiltelefons noch nicht bekannt sind und daher nicht behoben werden konnten.

Im Jahr 2019 gab WhatsApp bekannt, dass die Software von NSO verwendet wurde , um Malware an mehr als 1.400 Telefone zu senden, indem eine Zero-Day-Sicherheitslücke ausgenutzt wurde.Durch einfaches Tätigen eines WhatsApp-Anrufs an ein Zielgerät könnte bösartiger Pegasus-Code auf dem Telefon installiert werden, selbst wenn das Ziel den Anruf nie beantwortet hat.In jüngerer Zeit hat NSO damit begonnen, Sicherheitslücken in der iMessage-Software von Apple auszunutzen und ihm so Hintertür-Zugriff auf Hunderte Millionen iPhones zu ermöglichen.Apple sagt, dass es seine Software ständig aktualisiert, um solche Angriffe zu verhindern.

Das technische Verständnis von Pegasus und wie man die beweiskräftigen Brotkrumen findet, die es nach einer erfolgreichen Infektion auf einem Telefon hinterlässt, wurde durch Untersuchungen von Claudio Guarnieri, dem Leiter des Berliner Sicherheitslabors von Amnesty International, verbessert.

„Die Dinge werden für die Ziele immer schwieriger zu bemerken“, sagte Guarnieri, der erklärte, dass NSO-Clients verdächtige SMS-Nachrichten größtenteils für subtilere Zero-Click-Angriffe aufgegeben hatten.

Für Unternehmen wie NSO ist es besonders attraktiv, Software auszunutzen, die entweder standardmäßig auf Geräten installiert ist, wie iMessage, oder weit verbreitet ist, wie WhatsApp, weil sie die Anzahl der Mobiltelefone dramatisch erhöht increasesPegasus kann erfolgreich angreifen.

Als technischer Partner des Pegasus-Projekts, einem internationalen Konsortium von Medienorganisationen, darunter der Guardian, hat Amnestys Labor Spuren erfolgreicher Angriffe von Pegasus-Kunden auf iPhones mit aktuellen Versionen von Apples iOS entdeckt.Die Angriffe wurden erst im Juli 2021 durchgeführt.

Die forensische Analyse der Telefone der Opfer hat auch Hinweise darauf gefunden, dass die ständige Suche von NSO nach Schwachstellen möglicherweise auf andere gängige Apps ausgeweitet wurde.In einigen der von Guarnieri und seinem Team analysierten Fälle ist zu Zeiten der Infektionen ein eigenartiger Netzwerkverkehr im Zusammenhang mit Apples Fotos- und Musik-Apps zu sehen, was darauf hindeutet, dass NSO möglicherweise damit begonnen hat, neue Schwachstellen zu nutzen.

Wenn weder Spear-Phishing noch Zero-Click-Angriffe erfolgreich sind, kann Pegasus auch über einen drahtlosen Transceiver in der Nähe eines Ziels installiert oder, laut einer NSO-Broschüre, einfach manuell installiert werden, wenn ein Agent die des Ziels stehlen kannTelefon.

Nach der Installation auf einem Telefon kann Pegasus mehr oder weniger alle Informationen sammeln oder beliebige Dateien extrahieren.SMS-Nachrichten, Adressbücher, Anruflisten, Kalender, E-Mails und Internet-Browsing-Verläufe können alle exfiltriert werden.

„Wenn ein iPhone kompromittiert wird, geschieht dies auf eine Weise, die es dem Angreifer ermöglicht, sogenannte Root-Rechte oder Administratorrechte auf dem Gerät zu erlangen“, sagte Guarnieri.„Pegasus kann mehr, als der Besitzer des Geräts kann.“

Anwälte von NSO behaupteten , dass der technische Bericht von Amnesty International eine Vermutung sei und bezeichneten ihn als „eine Zusammenstellung spekulativer und unbegründeter Annahmen“.

NSO hat erhebliche Anstrengungen unternommen, um die Erkennung seiner Software zu erschweren, und Pegasus-Infektionen sind jetzt sehr schwer zu identifizieren.Sicherheitsforscher vermuten, dass neuere Versionen von Pegasus immer nur den temporären Speicher des Telefons und nicht die Festplatte belegen, was bedeutet, dass nach dem Ausschalten des Telefons praktisch alle Spuren der Software verschwinden.

Eine der größten Herausforderungen, die Pegasus für Journalisten und Menschenrechtsverteidiger stellt, ist die Tatsache, dass die Software unentdeckte Schwachstellen ausnutzt, was bedeutet, dass selbst der sicherheitsbewussteste Mobiltelefonbenutzer einen Angriff nicht verhindern kann.

„Diese Frage wird mir fast jedes Mal gestellt, wenn wir mit jemandem Forensik machen: ‚Was kann ich tun, damit so etwas nicht wieder passiert?’“, sagte Guarnieri.”Die wirklich ehrliche Antwort ist nichts.”

.

Share.

Leave A Reply