NSO-Spionagesoftware Pegasus Null Klicks bis zum totalen Kontrollverlust

Die Firma NSO verkauft Staatstrojaner an Behörden, zur Überwachung von Terroristen und Kriminellen. Doch mit forensischen Mitteln hat Amnesty Spuren der fast unsichtbaren Software auch bei Journalisten entdeckt.
NSO-Sitz in Herzliya bei Tel Aviv: Verdächtige Prozesse auf dem iPhone

NSO-Sitz in Herzliya bei Tel Aviv: Verdächtige Prozesse auf dem iPhone

Foto:

JACK GUEZ / AFP

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Die Überwachungssoftware Pegasus der israelischen Firma NSO »macht das iPhone zum digitalen Spion mit Zugriff auf sämtliche Kommunikationsdienste, bislang wird sie offenbar vor allem für gezielte Spähangriffe staatlicher Einrichtungen auf Menschenrechtler und Dissidenten benutzt«. Das schrieb der SPIEGEL vor knapp fünf Jahren.

Nun zeigt das Pegasus-Projekt, an dem die »ZEIT« , die »Süddeutsche Zeitung«  (»SZ«), NDR und WDR  sowie zahlreiche internationale Medien beteiligt sind, dass sich daran seither nichts Grundsätzliches geändert hat: »Mehr als 180 Journalistinnen und Journalisten«, so fasst es die »SZ« zusammen, »außerdem zahlreiche Menschenrechtsaktivisten, Oppositionelle, Anwälte und Politiker – darunter auch 13 derzeitige und frühere Premierminister und Staatsoberhäupter« seien seit 2016 mindestens potenzielle, zum Teil aber auch nachgewiesene Ziele und Opfer von Pegasus gewesen. Ihre Chats, E-Mails, Fotos, Standortdaten, Kontakte, der Zugriff auf Mikrofon und Kamera – all das und noch mehr lag in den Händen der Angreifer, sobald die Pegasus-Infektion erfolgreich war.

Grundlage der Recherchen ist eine an »Forbidden Stories«  geleakte Liste mit rund 50.000 Telefonnummern – vermutlich eine Wunschliste der verschiedenen NSO-Kunden, zu denen unter anderem die Regierungen von Saudi-Arabien, Indien, Mexiko, Marokko und Ungarn gehören. Nicht alle Inhaber dieser Nummern wurden gehackt und ausspioniert – schon allein, weil auch Festnetznummern darunter sind und Pegasus nur auf Mobiltelefonen mit iOS oder Android funktioniert. Die Suche nach konkret Betroffenen war daher mühsam. Wie sie ablief und was die Ergebnisse über die Sicherheit und Unsicherheit von iPhones aussagen, steht detailliert im IT-forensischen Bericht von Amnesty International .

Die Organisation hat dazu 67 Smartphones von Menschen untersucht, die auf der Telefonnummern-Liste stehen und ihre Geräte zur Verfügung stellten. Auf 37 Geräten fand Amnesty Spuren von Pegasus, in 23 Fällen gehen die Forensiker von einer erfolgreichen Infektion aus, beim Rest nur von Versuchen. Ihre Methoden und Ergebnisse wurden vom kanadischen Citizen Lab geprüft und für einwandfrei befunden . NSO spricht von »Falschbehauptungen« und »unbelegten Theorien«, die »ernste Zweifel« an den Quellen und Grundlagen der Pegasus-Projekt-Berichte aufkommen ließen – allerdings hat die Firma bisher kein einziges Detail der forensischen Untersuchung widerlegt.

Die iOS-Schwachstelle ist bis heute offen

Der Forensik-Bericht besagt ausdrücklich nichts über die Sicherheit oder Unsicherheit von Android-Geräten vor Pegasus. Das Google-Betriebssystem lässt sich schlicht noch schlechter untersuchen als iOS, weil noch mehr Daten beim Reboot gelöscht werden. Deshalb hat sich Amnesty nur auf iPhones konzentriert.

Zwei zentrale Erkenntnisse vorab: Pegasus ist nie ein Instrument zur Massenüberwachung gewesen. Die Software ist insofern ein typischer Staatstrojaner, entwickelt für die Überwachung einzelner Verdächtiger, wobei die Definition von verdächtig sehr von der jeweiligen Regierung abhängt. Andererseits funktioniert ein von Amnesty beschriebener Infektionsweg bis zum heutigen Tag. Selbst wer heute ein iPhone mit der aktuellen iOS-Version 14.6 benutzt, wäre praktisch wehrlos gegen Pegasus. Apple ist noch dabei, die Sicherheitslücke zu prüfen.

Ivan Krstić, der zuständige Manager des Unternehmens, teilte mit: »Angriffe wie die hier beschriebenen sind extrem raffiniert, kosten Millionen in der Entwicklung, funktionieren oft nicht lange und werden benutzt, um einzelne Individuen ins Visier zu nehmen«. Deshalb seien sie »keine Bedrohung für die überwältigende Mehrheit unserer Nutzer«, aber natürlich arbeite Apple »unermüdlich« daran, Geräte und Daten sicherer zu machen und Kunden »zu verteidigen«.

Aber wie kommt die Spionagesoftware auf ein Zielgerät? Darauf gibt Amnesty mehrere Antworten. Sie beinhalten SMS und iMessage, die Twitter-App und den Safari-Browser, Apple Music und die Standard-Foto-App von Apple. Doch die Apps sind nur ein Teil des Problems. NSO selbst hat eine Netzwerk-Infrastruktur aufgebaut, unter anderem, um die eigentliche Spionagesoftware zu verteilen. Insbesondere bis 2020 benötigten NSO-Kunden zudem eine gewisse Kontrolle über die Mobilfunknetze in ihrem Land sowie spezielle Hardware.

Drei verschiedene Infektionswege, zum Teil mit Varianten, hat Amnesty letztlich identifiziert:

Zwischen 2016 und 2018 bekamen potenzielle Pegasus-Opfer auf sie zugeschnittene SMS mit Links auf verseuchte Websites. Wer so einen Link anklickte, fing sich umgehend das Überwachungsprogramm ein, unabhängig davon, ob er oder sie ein aktuelles iOS-Betriebssystem verwendete oder nicht. Doch schon bald wurde selbst dieser eine Klick überflüssig.

Denn in den Folgejahren wurden Pegasus-Infektionen über sogenannte »network injections« durchgeführt, wie Amnesty bereits 2019 und 2020 gezeigt hatte. Wer über Safari oder Twitter eine bestimmte Website aufrief, wurde blitzschnell umgeleitet auf eine andere, bösartige. Dafür brauchten die Angreifer die Kontrolle über das Netzwerk – entweder durch geeignete Spezialgeräte direkt bei den Mobilfunkprovidern der Opfer oder durch spezielle Router oder Mobilfunkmasten in ihrer Nähe, um ihren Netzwerkverkehr aufgreifen und in Echtzeit manipulieren zu können. Aber es geht noch perfider.

Den nächsten Infektionsweg, der vor allem 2019 genutzt wurde, konnte Amnesty nur indirekt nachweisen. Nötig war dazu lediglich die Handynummer eines Opfers. An diese schickte der Angreifer unsichtbare iMessages mit speziell präparierten Anhängen, wie Bill Marczak vom Citizen Lab dem SPIEGEL im Chat erklärte. Die Anhänge konnten eine Infektion auslösen, weil iOS im Umgang mit ihnen Schwachstellen hat. Zu sehen ist davon im Nachhinein aber lediglich die Kontaktaufnahme zu einem dem Opfer nicht bekannten iMessage-Account wie »linakeller2203@gmail.com«. Kurz nach der Kontaktaufnahme starteten verdächtige Prozesse auf den Geräten, die es auf anderen iPhones nicht gibt, wie eine Auswertung der Logdateien zeigte. Die gleichen Prozesse starteten auch bei anderen Infektionsvarianten, bei denen Amnesty Kontaktaufnahmen zu bekannten Servern der Pegasus-Infrastruktur bemerkte.

Was genau diese Prozesse bewirkten, konnten die Forensiker nicht erkennen, auch Spuren von Pegasus selbst fanden sie auf den Geräten nicht. Aber ihre Schlussfolgerung lautete, dass NSO eine öffentlich nicht bekannte Schwachstelle (»Zero-day«) in iMessage ausnutzte, um die Infektion mit Pegasus ohne aktives Zutun der Opfer (»Zero-Click«) zu starten.

Die Pegasus-Infektion ist nicht mehr von Dauer

2020 kam Apple Music als mutmaßlicher Teil des »Zero-Click«-Infektionswegs hinzu. Wieder begann alles mit einer iMessage. Einige Zeit später baute der Musikdienst auf dem iPhone eine Netzwerkverbindung auf – zu einer Adresse, die Amnesty bereits früher als Teil der NSO-Netzwerk-Infrastruktur identifiziert hatte. Wieder starteten sofort danach die verdächtigen Prozesse auf dem Gerät.

Bis in den Juli 2021 hinein konnten die Forensiker zudem eine Variante des »Zero-Click«-Angriffs beobachten, bei der nach dem iMessage-Auslöser ein Prozess in Apples Telefoniefunktion gekapert wurde, um eine bestimmte Internetadresse für die weitere Infektionsroutine aufzurufen.

Ein interessanter Nebenaspekt der »Zero-Click«-Versionen von Pegasus ist laut Amnesty, dass die Spionagesoftware anders als früher nicht mehr dauerhaft auf dem Zielgerät verbleibt. Stattdessen wird sie mit jedem Neustart gelöscht, mitsamt aller Artefakte. Das macht es schwer, jemals eine vollständige Pegasus-Installation zu finden und zu untersuchen. Für die Angreifer ist die Kurzlebigkeit hingegen kein großes Problem, solange die erneute Installation so einfach und das Opfer so chancenlos ist.

Zwar lässt sich iMessage deaktivieren, um die »Zero-Click«-Angriffe auf diesem Weg zu blockieren. Doch NSO hat noch mehrere andere Apple-eigene Apps ausgetrickst und wird das immer wieder versuchen. Bisher bestünde daher die beste Gegenwehr darin, das iPhone nur als Briefbeschwerer zu benutzen.

Hinweis: Der Artikel wurde um das Apple-Statement ergänzt.

Die Wiedergabe wurde unterbrochen.