Beim Thema kommerzielle Spionagesoftware ist ein Name nicht weit: Pegasus nennt sich jenes Tool der israelischen Firma NSO, das über die Jahre für gehöriges Aufsehen gesorgt hat – wurde es doch weltweit von Geheimdiensten und Polizeibehörden für das Ausspionieren von Opposition und Medien verwendet, wie das investigative "Pegasus Projekt" im Juli 2021 aufgezeigt hatte.

Was folgte, waren öffentliche Diskussionen über die generelle Problematik solcher Software, aber auch direkte Konsequenzen für NSO und deren Käufer. So wurde erst unlängst bekannt, dass die EU-Kommission Klagen gegen einige Mitgliedsländer vorbereitet, die Pegasus eingesetzt haben sollen. In den USA wurde die Nutzung der NSO-Software schon länger verboten.

Eine neue Untersuchung ruft nun aber ein nicht ganz unwichtiges Faktum in Erinnerung: NSO ist bei weitem nicht der einzige Hersteller entsprechender Tools, und die Tools der Konkurrenz werden dabei nicht minder problematisch genutzt wie Pegasus selbst.

Quadream

Die Bürgerrechtsorganisation Citizen Lab sowie Microsoft warnen nun vor einer bisher wenig beachteten Spionagesoftware namens Reign, deren Ähnlichkeiten zu Pegasus schon fast frappant sind. Wieder handelt es sich dabei um ein Tool, mit dem über sogenannte Zero-Click-Attacken unbemerkt iPhones übernommen werden können. Erneut sind Journalistinnen und Journalisten sowie Oppositionelle und Nichtregierungsorganisationen (NGOs) im Visier. Und natürlich haben auch in diesem Fall wieder über die ganze Welt verstreute Kunden zugegriffen – darunter einige europäische Staaten.

Hersteller ist eine israelische Softwarefirma namens Quadream, die gezielt um Regierungen und deren Geheimdienste als Kunden wirbt. Reign versteht sich dabei als eine Art Gesamtlösung zur Übernahme von Smartphones. Darin enthalten sind also Exploits zur Ausnutzung von bisher öffentlich nicht bekannten Sicherheitslücken, also auch die Spionagesoftware, die infolge dessen installiert wird. Natürlich gibt es auch die zugehörige Infrastruktur, die dann zur Auswertung der Daten genutzt wird.

Zero-Click-Übernahme

Dass diese Software nun Thema wird, hat mit aktuellen Angriffen zu tun. Wie sich herausstellt, hat Quadream nämlich eine – damals – unbekannte Sicherheitslücke in Apples iOS ausgenutzt, um iPhones zu übernehmen. Citizen Lab hat diese "ENDOFDAYS" getauft, es handelt sich um einen Zero-Click-Exploit, der keinerlei Mithilfe der Nutzer bedarf.

Konkret hat man sich dabei offenbar einen Fehler bei der Verarbeitung von iCloud-Kalender-Einladungen zunutze gemacht. Dieser ermöglichte es, unbemerkt die eigentliche Schadsoftware einzuschmuggeln, die Microsoft wiederum Kingspawn nennt.

Vollständige Überwachung

Die Spionagefunktionen von Kingspawn sind dabei umfassend. So kann es etwa unbemerkt im Hintergrund die Kamera aktivieren, den Standort des Geräts abfragen, auch der Zugriff auf die Keychain, in der Passwörter gespeichert werden, soll möglich sein. Angreifer können zudem Anrufe mitlauschen und gezielt nach einzelnen Dateien suchen.

Doch damit nicht genug, soll die Spyware auch in der Lage sein, Einmal-Codes (OTP) für die iCloud zu erzeugen – womit dann wieder der Login an anderer Stelle möglich ist. Ist die Spionageaktion einmal abgeschlossen, kann sich die Software dann selbst "zerstören", also Spuren restlos verwischen.

Nicht mehr aktuell

Bei all dem gibt es eine – zumindest oberflächlich betrachtet – gute Nachricht: Der im Rahmen der Untersuchung analysierte Exploit funktioniert so mittlerweile nicht mehr, ist er doch für iOS 14.4 und 14.4.2 gedacht, also zwei nicht mehr aktuelle Versionen des Betriebssystems. Apple scheint die grundlegende Lücke seitdem geschlossen zu haben.

Freilich gehen die Sicherheitsforscher davon aus, dass es sich dabei nur um einen einzelnen Exploit aus einem größeren Arsenal handelt, also Quadream längst auf andere Lücken abzielt. Ein solch rascher Wechsel von Angriffswegen ist für die Art von Software typisch, immerhin will man ja immer auch die neuesten Softwaregenerationen knacken können.

Android

Zudem gilt es zu betonen: Auch wenn die beschriebene Attacke auf iPhones abzielt, dürfen sich Android-Nutzer nicht in Sicherheit wiegen. Immerhin wirbt das Unternehmen damit, ebenso Geräte mit Googles Betriebssystem übernehmen zu können. Und auch in der Analyse der vorliegenden Software finden sich Hinweise auf eine Android-Version, wie Microsoft betont.

Ziele

Weitere Recherchen führten Citizen Lab dann auch zu einigen Opfern der Spionagesoftware. So soll das Quadream-Tool unter anderem in Tschechien, Ungarn, Rumänien und Bulgarien eingesetzt worden sein. Auch in Israel, Mexiko und den Vereinigten Arabischen Emiraten sowie Singapur lässt sich die Verwendung von Reign nachweisen. Dass viele der erwähnten Staaten bereits Kunden von Pegasus waren, ist dabei wohl kein Zufall. So hatte etwa Ungarn schon vor einiger Zeit klar betont, dass man hinter dem Einsatz solcher Tools steht, auch die lokale Datenschutzbehörde sah darin kein Problem.

Bei Citizen Lab nutzt man den Vorfall, um einmal mehr generell vor der Bedrohung durch kommerzielle Spionagefirmen zu warnen. Von früheren Beispielen wie Hacking Team oder Finfisher bis zu NSO oder auch Cytrox und dessen Predator-Spyware zeige sich immer wieder: Solche Software wird nie so beschränkt eingesetzt, wie sie offiziell verkauft wird – meist mit dem Hinweis auf Terrorismus oder organisierte Kriminalität. In jedem einzelnen dieser Fälle seien entsprechende Tools auch gegen missliebige Personen aus der Zivilgesellschaft eingesetzt worden. (Andreas Proschofsky, 12.4.2023)