Pegasus: Überwachung leicht gemacht – das Geschäft mit dem Staatstrojaner

Ein Länder-übergreifendes Recherchenetzwerk hat den Skandal um die Schadsoftware Pegasus der israelischen NSO Group aufgedeckt, mit der Smartphones infiziert werden können.

Der „Staatstrojaner als Service“ der NSO Group ähnelt den „Ransomware als Service“ Ansatz von Hackern, mit dem wesentlichen Unterschied, dass er legal von staatlichen Akteuren beauftragt wird.

Offiziell wird das Tool zur Terrorverfolgung lizenziert, letztlich steht es den Nutzern aber frei, ihre Ziele „Targets“ auszuwählen. Unter den gut zahlenden Kunden sind autoritäre Staaten, die damit auch Systemkritiker, Journalisten und Anwälte ausspionieren. Selbst bekannte Politiker wie Macron sollten ausgespäht werden.

Am Deutlichsten wird die Verbindung zwischen der Überwachung mit NSO’s Pegasus-Trojaner und physischer Gewalt beim ermordeten saudi-arabischen Journalisten Jamal Khashoggi, aber auch Menschenrechtsaktivisten in Mexiko und Indien sind massiv betroffen.

In diesem Beitrag geht es um die Funktionsweise der Spionagesoftware sowie das fragwürdige Geschäftsmodell der milliardenschweren NSO Group.

Was ist die Schadsoftware Pegasus und wie funktioniert sie?

Die NSO-Group bietet ihren Kunden einen „Staatstrojaner als Service“ in der Cloud an, den Ablauf kann mensch sich etwa so vorstellen:

1. Über den Cloud-Service der NSO können die staatlichen Agenten und Ermittler ihre Zielpersonen „Targets“ adressieren, indem sie deren Mobiltelefonnummern hinterlegen. Die Reichweite beschränkt sich nicht auf Personen, die in oder aus dem jeweiligen Staat sind, es können Nummern aus allen Ländern sein (Argumentation: Terrorverdächtige*r kann jede*r mensch sein).
2. Die Zielpersonen werden dann von Mitarbeiter*innen der NSO adressiert, beispielsweise mit einer personalisierten SMS oder WhatsApp-Nachricht, die nicht ohne Weiteres als Angriff erkennbar ist (ggf. unterstützt der*die Auftraggebende hierbei).
   Die Nachricht wird möglicherweise von einem Kontakt des Opfers gesendet, sofern NSO bereits ein Gerät im Bekanntenkreis infizieren konnte – in den aufgedeckten Fällen wurde oft so vorgegangen um ein Personennetzwerk zu infiltrieren.
3. Die Nachricht enthält einen Kurzlink (z.B.  „bit.ly/xyz“) auf eine „bösartige Website“ der NSO-Group. Wenn dieser Link aufgerufen wird, installiert sich eine Schadsoftware über eine nicht geschlossene und möglicherweise auch dem Hersteller unbekannte Sicherheitslücke. Das Gerät wird also gehackt. Zumeist handelt es sich dabei um einen Zero-Day-Exploit, bei dem ein Gerät mit „Root-Rechten“ komplett übernommen werden kann.
4. Abhängig von der ausnutzbaren Sicherheitslücke des Gerätes genügt in manchen Fällen auch eine „unsichtbare“ Nachricht, über die das Smartphone direkt gehackt werden kann – d.h. die Infiltration passiert völlig unbemerkt. Diese Schwachstellen sind besonders bösartig, bekannt geworden sind bislang beispielsweise Backdoors, die die NSA einbauen ließ.
   
5. Im Anschluss wird die Pegasus-Software aus dem Internet nachgeladen und installiert. Diese erlaubt einen Remotezugang zum gehackten Gerät, d.h. es kann komplett ferngesteuert werden.
6. Dann wird das  Gerät für die staatlichen Agenten und Ermittler in NSO’s Cloud-Service freigeschaltet und sie können dort tun und lassen was sie wollen.  Alle darüber abrufbaren Inhalte (Medien, Nachrichten, etc.) lassen sich ableiten, Nachrichten können erstellt oder selbst strafbare Inhalte hochgeladen werden.
   Last, but not least – Mikrofone und Kameras können nach Bedarf zum Ausspionieren genutzt werden ohne dass das Opfer es merkt.
7. Abhängig von der Zielstellung werden die Opfer abgehört oder -wie es bei Menschenrechtsaktivisten und Journalisten passiert ist- massiv eingeschüchtert, indem ihnen klar gemacht wird, dass ihr Smartphone kontrolliert und damit ihr Leben überwacht wird. In einigen Fällen wird der Bekanntenkreis manipulativ mit gefälschten Nachrichten beeinflusst um die Vertrauensbasis zu zerstören. Strategien, die aus der Mottenkiste der Geheimdienste des Kalten Krieges stammen, aber leider immer noch aktuell sind: KGB, CIA und Stasi lassen grüßen.

Interessanterweise ist der Ablauf analog zu „Ransomware als a Service“ von Hackern wie der Conti-Gruppe. Mit dem wesentlichen Unterschied, dass der Angriff in den (meisten) Ländern, von denen er ausgeführt bzw. beauftragt wird, legalisiert wurde – zumeist mit dem Verweis auf die Abwehr von Terror oder dem Kampf gegen Kinderpornographie. Mittlerweile wurde das Hacken von Geräten und Infizieren mit Schadsoftware und Staatstrojanern selbst in Deutschland gesetzlich legitimiert (mehr dazu im Blog).

Bemerkenswert ist zudem, dass die als vergleichsweise sicher und damit als schwerer angreifbar geltenden iPhones gehackt werden konnten. Das hat damit zu tun, dass iPhones in den Zielgruppen weitverbreitet sind und Kunden dafür gut bezahlen – da lohnt sich der Aufwand diese zu hacken besonders. Android-Versionen stehen dahingegen regelmäßig in der Kritik, da bei den Smartphones nach 1-2 Jahren meist die Updates der Hersteller versiegen und sogar bekannte Sicherheitslöcher dann wie Scheunentore offen stehen (Apple bietet schon länger 5 Jahre lang Sicherheitsupdates an).

Wer verdient daran und wer finanziert diese Spionage?

Der Marktwert des Firmennetzwerks der NSO Group hat sich seit seiner Gründung 2010 exorbitant gesteigert. Die jährlichen Lizenzkosten für die „ransomware-as-a-service“ Pegasus bewegen sich für Staaten im Millionenbereich. Das starke Wachstum von NSO der letzten Jahre wurde durch den Einstieg internationaler Investoren ermöglicht, auch aus Europa. Diese Unternehmen tragen damit Mitschuld an der Spionage, siehe dazu den Bericht von Amnesty International.

Ein Beispiel: Seit der Lizensierung von Pegasus durch Saudi-Arabien 2017 hat sich der Profit der mit NSO verbundenen Firma Q Cyber Technologies SARL (Luxemburg) von 24 Mio $ auf 169 Mio $ in 2019 erhöht, wie das investigative Team von Forensic Architecture ermittelte.

Ein Ende der Nutzung der Spionagesoftware ist nicht abzusehen, ganz im Gegenteil. Selbst in Deutschland wurde eine Präsentation positiv aufgenommen und sogar in der USA (in der die NSO Group nicht als ausländisches Spionage-Unternehmen aktiv sein darf) wurde die leicht abgewandelte Software „Phantom“ Polizeibehörden angeboten. Die NSO-Group bietet übrigens eine Corona-Nachverfolgungs-Software an, die vermutlich auch einige Staaten erworben haben.

Letztlich sind es Millionen an Steuergeldern die dafür ausgegeben werden, die Staatsbürger finanzieren also die Überwachung mit diesem Staatstrojaner selbst!

Es sei angemerkt, dass NSO nicht das einzige Unternehmen ist, das sich auf dem Staatstrojaner-Markt tummelt. Es handelt sich bei NSO um die bekannteste weltweit agierende und derzeit den globalen Markt dominiernde Firma, und es wird klar was State-of-the-Art ist:

Ausspionieren war noch nie so einfach wie heute, es müssen schon lange keine privaten Räume mehr durchsucht, Wanzen platziert oder Leitungen angezapft werden. Ein Zugang zu den elektronischen Geräten der Opfer genügt, insbesondere Smartphones sind als ständige Begleiter optimal dafür geeignet.

Aus den Snowden-Veröffentlichungen wissen wir, dass die CIA in den 2000ern Notebooks hacken und unbemerkt Mikrofon und Kamera aktivieren konnte, der Schritt zu den Smartphones war da nur gering.

Bestürzend ist, dass es zusätzlich zum illegalen Markt für Hacking-Tools im Darknet eine legale kommerzielle Alternative gibt.

Geheimdienste und andere staatliche Behörden können sich dessen nun bedienen, ohne wie vordem für die eigene Nutzung nach illegalen Tools und Zero-Day-Exploits im Darknet suchen zu müssen. Diese schmutzige Aufgabe übernimmt NSO mit ihrem Service gleich mit, indem sie Schwachstellen einkaufen oder selbst suchen und diese offen halten, indem sie sie den Herstellern nicht melden.

Und die staatlichen Agenten und Ermittler? Die können zum Ausspionieren ein Webfronend bedienen, illegale Tools müssen sie dafür nicht mehr einsetzen.

Ein sauberes Geschäft.

Welche Ziele sollten wir verfolgen?

1. Ein Bann jeglicher kommerzieller Spionage-Software wie Staatstrojaner durch alle (demokratischen) Staaten. Es sollte ein Moratorium geben, die UN fordert seit 2019 klare Regeln für Überwachungssoftware.
   Es ist außerdem nur eine Frage der Zeit, bis auch nicht-staatliche Stellen diese Zugänge bekommen.
   Dass kriminelle Hacker und Geheimdienste das Hacken von Geräten unterlassen ist wohl nicht durchsetzbar.
2. Strafrechtliche Verfolgung der letztlich kriminellen Aktivitäten, Verantwortliche müssen dafür persönlich haftbar gemacht werden.
3. Sicherheitslücken dürfen nicht geheim bleiben, sondern sollten umgehend durch die Hersteller gefixt werden (können). Dazu müssen sie gemeldet werden und zudem sollte das Offenhalten solcher Lücken juristisch verfolgt werden. Zumindest Schadensersatzforderungen sollten durchsetzbar sein.
4. Ein Hacken von Geräten durch staatliche Stellen unter Ausnutzung von Sicherheitslücken muss verboten werden (es wurde gerade in Deutschland für  Geheimdienste legalisiert).
5. Der Fokus sollte in demokratischen Staaten auf sicheren, nicht angreifbaren Systemen liegen.
6. Die EU sollte verstärkt auf die Entwicklung sicherer Betriebssysteme und Anwendungssoftware setzen und diese fördern (sinnvollerweise als Open Source), statt allein auf US-amerikanische und chinesische Anbieter zu vertrauen.

Weitere Informationen

• Beiträge auf netzpolitik.org:
  • Staatstrojaner Pegasus: Wir müssen die gesamte Überwachungsindustrie in Frage stellen
  • Pegasus: Der Staatstrojaner-Skandal im Überblick
  • Spyware Pegasus: Wenn digitale Gewalt zu physischer Gewalt wird
  • UN-Bericht fordert transparentere Zusammenarbeit zwischen Überwachungsunternehmen und Staaten
• forensic-architecture.org – Digital Violence: How the NSO Group Enables State Terror (Hinweis: Webseite bindet externe Inhalte ein)
• www.amnesty.org (Amnesty International) – Operating from the Shadows: Inside NSO Group’s Corporate Structure (PDF)
• Süddeutsche Zeitung (SZ) – Das Pegasus-Projekt: Angriff auf die Demokratie (Hinweis: Webseite bindet Webtracker und andere externe Inhalte ein)

Nachtrag

Mit Staatstrojaner werden nicht nur Smartphones angegriffen, sondern sie infizieren auch Rechner. In den Medien wurde über weitere Produkte berichtet, auch wenn nicht immer klar ist, welche Produkte im Einsatz sind.

• netzpolitik.org – Penisfisch: Bundesregierung verweigert Auskunft über israelischen Staatstrojaner Candiru (22.9.2021)
• netzpolitik.org – Geheime Sitzung: Regierung verweigert Bundestag jede Auskunft über Staatstrojaner-Firmen (2018)
• Microsoft Threat Intelligence Center (MSTIC) – Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware (July 15, 2021; Hinweis: Die Webseite bindet externe Inhalte ein)