Mit der eigenen Spionagesoftware Pegasus hat die israelische Firma NSO Group in den vergangenen Jahren für einiges Aufsehen gesorgt, wurde diese doch für allerlei ziemlich umstrittene Aktivitäten eingesetzt. So soll sie etwa gegen Oppositionelle in Spanien oder auch Polen zum Einsatz gekommen sein. Der Verkauf an autoritäre Regime, die sie dann gegen Journalistinnen und Menschenrechtsaktivisten zum Einsatz bringen, ist ebenfalls wohldokumentiert.

Eindeutige Hinweise

Ein aktueller Bericht erinnert nun daran, dass NSO bei weitem nicht der einzige Akteur in der Welt der kommerziellen Spyware ist. In einem Blogposting spürt Googles Threat Analysis Group (TAG) einer aktuellen Spionagekampagne unter Nutzung der Software der italienischen Firma RCS Labs nach. Diese hatte sowohl Android- als auch Apple-Smartphones zum Ziel – in diesem Fall in Italien und Kasachstan. Vor allem aber: Die Fakten legen eine staatliche Involvierung nahe.

Diese Einschätzung ergibt sich aus dem Ablauf eines solchen Angriffs. Den Opfern wurde laut der TAG zunächst ein Link zugeschickt, der sie zur Installation der Spionagesoftware verleiten sollte. So weit, so gewöhnlich, interessant ist aber, was davor passierte. Zum Teil scheint den Zielpersonen nämlich zunächst gezielt die Mobilfunkdatenverbindung deaktiviert worden zu sein. Darauf folgte dann eine SMS, die auf eine App verwies, mit der sich angeblich der Netzzugriff wiederherstellen ließ. Das funktionierte zwar auch, parallel dazu fingen sich die Betroffenen damit aber natürlich die Spyware ein.

Zusammenspiel

Der Schluss, den Google daraus zieht, ist nicht ganz überraschend. Offenbar haben hier die Mobilfunkanbieter – wohl auf staatliche Anordnung – mit den Angreifern zusammengearbeitet. Wo das nicht möglich war, wurde versucht, die Opfer mittels gefälschter Messaging-Apps hereinzulegen.

Einmal auf dem Smartphone, tarnte sich die Spyware konsequenterweise dann als Provider-App, also in einem Fall etwa als "My Vodafone". Interessant ist auch, dass die Installation dieser App auf einem iPhone überhaupt so einfach funktioniert, immerhin verbietet Apple ja eigentlich das "Sideloading", also das Einrichten von Apps jenseits des eigenen Stores. In diesem Fall scheint RCS Labs sich aber erfolgreich ein eigentlich für interne Unternehmens-Apps gedachtes Zertifikat aus Apples Enterprise Developer Program besorgt zu haben, mit dem die Installation ermöglicht wurde.

Im Fall von Android soll die App sich als Samsung-Programm getarnt haben, wie eine ausführliche technische Analyse des ebenfalls bei Google angesiedelten Project Zero ausführt. Dort ist erwähntes Sideloading generell möglich, auch wenn die Nutzer dafür zunächst allerlei Sicherheitssperren deaktivieren müssen.

Spionagewerk

Auf beiden Systemen holte sich die Spyware dann allerlei Berechtigungen ein, um die eigene Spionagetätigkeit entfalten zu können. RCS Labs wirbt dabei selbst damit, dass die eigene Software eine Art Totalüberwachung eines damit befallenen Geräts ermögliche, also etwa Sprache, Standort oder auch andere Daten erfassen kann.

Zumindest unter iOS wurden allerlei Sicherheitslücken genutzt, um die Beschränkungen des Systems auszuhebeln. Bei zweien davon soll es sich zum Zeitpunkt der Entdeckung um sogenannte "Zero Days" gehandelt haben, also Lücken, von denen der Systemhersteller – in dem Fall also Apple – zu dem Zeitpunkt noch nichts wusste. Unter Android wurden ebenfalls Möglichkeiten für das Nachladen von Schadcode gefunden, dabei erwischt wurde die Spionagesoftware aber nicht.

Reaktion

All die erwähnten Lücken wurden mittlerweile von Apple geschlossen, das genutzte Enterprise-Developer-Zertifikat entzogen. Bei Google selbst versichert man, dass diese Attacken mittlerweile mithilfe des auf praktisch allen Android-Geräten zu findenden Google Play Protect aufgespürt werden, zudem seien alle Betroffenen über die Vorgänge informiert worden.

Gleichzeitig braucht man sich auch keinen Illusionen hinzugeben, ist doch davon auszugehen, dass RCS Labs längst eine neuere Version der Spyware mit frischen Exploits hat, die nicht entdeckt wird – ähnlich wie es bei kommerziellen Angeboten von NSO und Co der Fall ist.

Erste Spuren

Bereits in der Vorwoche hatte die Sicherheitsfirma Lookout vor Angriffen auf Android-Smartphones gewarnt, hinter denen der kasachische Staat stehen soll. Die dort genutzte Spyware soll ebenfalls von RCS Labs stammen, Lookout hat ihr den Namen "Hermit" verpasst, es ist davon auszugehen, dass es um dasselbe Stück Spyware geht.

RCS Labs sieht kein Problem

Die in Mailand ansässige Firma RCS Labs wirbt auf der eigenen Webseite damit, dass die eigene Software dazu benutzt wird, alleine in Europa täglich rund 10.000 Ziele auszuspionieren. Allerdings betont man dabei, dass es hier um "rechtmäßige Überwachung" in Zusammenarbeit mit Polizeibehörden gehe. Sollte die Software für andere Aktivitäten genutzt worden sein, verurteile man das, heißt es gegenüber der Nachrichtenagentur Reuters.

Interessant dürfte auch der Hintergrund von RCS Labs sein, zeigen sich doch dabei gewisse Verbindungen zu einer der umstrittensten europäischen Hackergruppen der vergangenen Jahre: dem auf Staatstrojaner spezialisierten "Hacking Team", das nach zahlreichen Skandalen und der unfreiwilligen Veröffentlichung belastender bis peinlicher interner Dokumente zunächst in der Versenkung verschwand und dann vor zwei Jahren endgültig den Betrieb einstellte.

Sowohl die italienischen als auch die kasachischen Behörden wollen sich zu den Vorgängen bisher nicht äußern.

Positionswechsel

Bei Google argumentiert man für die Öffentlichungmachung dieser Aktivitäten mit dem Hinweis darauf, dass solche Firmen ein Risiko für das gesamte Internet darstellten. Einerseits werde entsprechende Software – wie zahlreich dokumentiert – laufend gegen Regimekritiker und Oppositionelle eingesetzt und sei somit mit demokratischen Werten nicht vereinbar. Zudem gefährde das Geheimhalten von Sicherheitslücken für solche Aktivitäten alle Smartphone-User, da dies anderen Angreifern ebenfalls länger Zeit für ihre Attacken gebe.

Gleichzeitig betont der Softwarehersteller aber, dass RCS Labs ebenso wie die NSO Group nur eines von vielen in diesem Bereich aktiven Unternehmen sei. Die TAG beobachte derzeit mehr als 30 Firmen, die entsprechende Überwachungsdienste an Regierungen verkaufen. (Andreas Proschofsky, 24.6.2022)