Das haben die aktuellen Browser-Updates mit Candiru zu tun

Apple hat letzte Woche mehrere Sicherheitslücken in seinem Browser Safari gestopft. Die Schwachstellen wurden mit dem Update auf Safari 15.6 für macOS Big Sur und macOS Catalina behoben. Schon Anfang Juli schlossen Google und Microsoft die gleichen, brandgefährlichen Zero-Day-Lücken in Chrome und Edge.

Was nach einem mehr oder weniger gewohnten Vorgang klingt, ist erstens eine Bedrohung für uns alle und hat zweitens eine weitgehend unbeachtete politische Dimension.

Die Spyware, die Geheimdienste lieben

Brisant: Unbekannte Hacker haben die Lücken zuvor für Spionage-Aktionen gegen Journalisten und wohl auch Politiker, Menschenrechtsaktivisten, Anwälte oder politische Dissidenten genutzt. Dies berichtete die Sicherheitsfirma Avast zuerst.

Demnach wurden Journalisten im Libanon, im Jemen, in Palästina sowie der Türkei ausspioniert. Bei den Angreifern dürfte es sich um staatliche Hacker von Geheimdiensten handeln, die im Auftrag von Regierungen unliebsame Journalisten und Oppositionelle überwachen. Für die Betroffenen hat dies möglicherweise verheerende Konsequenzen.

Spyware-Grüsse aus Tel Aviv

Die für die Beschattung genutzte Spionagesoftware DevilsTongue wurde von Candiru entwickelt. Ein geheimnisumwobenes Unternehmen für Cyber-Kriegsführung mit Sitz in Tel Aviv, das nur schwer zurückverfolgbare Spionagesoftware an Regierungen verkauft.

Das 2015 gegründete Unternehmen, das keine Webseite besitzt und mehrfach seinen Namen geändert hat, rekrutiert seine IT-Cracks mit Vorliebe von der Elite-Cyber-Truppe Unit 8200 des israelischen Militärnachrichtendienstes. Die IT-Spezialisten werden angeblich mit Monatslöhnen von umgerechnet rund 20'000 Franken angeworben.

Eine der wenigen Aufnahmen aus dem Innern von Candiru (Source: citizenlab.ca)

Früheren Berichten israelischer Medien zufolge kann die Candiru-Spyware iPhones, Android-Geräte, Macs, PCs und Cloud-Konten infizieren und überwachen. Gemäss einer durchgesickerten Offerte an einen Kunden gelangt die Spyware über verschiedene Wege auf die Geräte der Zielperson. Einige Angriffe erfordern einen Klick auf einen Link, andere funktionieren ohne jegliche Aktion der Betroffenen, was sie speziell gefährlich macht.

Es kann ausreichen, wenn der angegriffene User eine manipulierte Webseite aufruft, um sich die Schadsoftware einzufangen. Bei einem nicht aktualisierten Browser ist das Risiko besonders gross.

Einmal Überwachung mit allem

Aus einer vor rund zwei Jahren geleakten Offerte (PDF) wird ersichtlich, dass die Spyware wohl Daten aus einer Reihe von Apps und Konten wie Gmail, Outlook, WhatsApp, Telegram, Facebook etc. ausspähen kann. Die Spyware für Windows, iOS und Android kann offenbar auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon der Zielperson einschalten und Screenshots vom Bildschirm übermitteln. Das Erfassen von Daten aus zusätzlichen Apps wie Signal wird mit Aufpreis verkauft. In der Offerte preist der Hersteller sein System als «nutzerfreundliche High-End-Cyber-Intelligence-Plattform», um Computer, Netzwerke und Smartphones zu infiltrieren.

Die Preise hängen von der Anzahl überwachter Geräte und der Anzahl Länder ab, in denen überwacht werden soll. (Source: citizenlab.ca)

Candiru scheint seine Überwachungssoftware zu lizenzieren. Je mehr User gleichzeitig überwacht werden sollen, desto teurer wird der Spionage-Service für Strafermittler und Nachrichtendienste. Die Kunden befinden sich gemäss einem ehemaligen Candiru-Manager in Westeuropa, Ländern der ehemaligen Sowjetunion, dem Persischen Golf, Asien und Lateinamerika.

«Das Unternehmen hilft Strafverfolgungsbehörden und Geheimdiensten in verschiedenen Ländern, sich unerlaubt in Computersysteme einzuhacken, um sie zu überwachen, Informationen zu stehlen und sogar Schaden anzurichten», schrieb die israelische Zeitung «Haaretz» 2020 in einem Enthüllungsbericht. Candiru sagt, dass ihre Spyware nur an demokratische Staaten verkauft werde. Allerdings tauchten in den letzten Jahren Berichte auf, die Candiru mit Ländern wie Saudi-Arabien, Katar oder Usbekistan in Verbindung bringen.

Bei den eben erst von Avast publik gemachten Spionage-Aktionen mit Candiru-Spyware gegen Medienschaffende im Nahen Osten wurden Chrome-User mit Windows-Geräten angegriffen. Da die nun geschlossenen Schwachstellen aber Browser von Google, Microsoft und Apple betreffen, sei denkbar, dass auch Safari-User mit Apple-Geräten ausspioniert worden seien, schreibt Avast.

Warum die Sicherheitslücken uns alle gefährden

Bei der jüngsten Spionage-Kampagne mit Candiru-Software suchten sich die Angreifer ihre Opfer sehr gezielt aus. Besteht für die grosse Masse der Internet-User daher keine Gefahr?

Doch. Sobald Schwachstellen in den Browsern von Apple, Google und Microsoft allgemein bekannt werden, ist es nur eine Frage von Stunden oder Tagen, bis Kriminelle auf breiter Front zuschlagen.

Sicherheitslücken werden oft zuerst von Geheimdiensten gezielt gegen einige wenige (hochrangige) Personen eingesetzt: beispielsweise zur Überwachung von Schwerkriminellen und Terroristen, aber auch von (oppositionellen) Politikern, Anwälten oder Aktivisten. Werden die Lücken irgendwann geschlossen, werden sie erst recht gefährlich, da kriminelle Hacker sie nun für betrügerische Aktionen wahllos gegen die breite Masse einsetzen. Sie wissen nur zu gut, dass etliche private User und Firmen sich mit dem Sicherheits-Update Zeit lassen und somit leichte Beute sind.

Anders gesagt: Wann immer Apple, Google oder Microsoft einen Security-Patch herausbringen, beginnen Kriminelle nach Wegen zu suchen, wie man die entfernte Schwachstelle potenziell ausnützen kann. Ihnen geht es rein darum, möglichst viel Geld zu scheffeln, etwa mit Verschlüsselungs-Trojanern, die Computer von Privaten oder IT-Systeme von Firmen und Behörden lahmlegen.

Dies funktioniert nur zu gut, da es einen beträchtlichen Schwarzmarkt an bekannten, nicht gestopften Sicherheitslücken gibt, wo sich Kriminelle und staatliche Hacker eindecken können.

Daher sollten Sicherheits-Updates – unabhängig vom Betriebssystem – immer rasch installiert werden. Es geht dabei nicht nur um die Sicherheit des eigenen Geräts, sondern auch um jene der gesamten Unternehmung.

Das gilt im aktuellen Beispiel umso mehr, da Apple, Google und Microsoft jeweils gleich mehrere gefährliche Lücken schliessen mussten. Laut Apple können «durch den Besuch einer in böser Absicht erstellten Website vertrauliche Daten offengelegt werden» und es kann «zur Ausführung von willkürlichem Code» kommen. Bei IT-Sicherheitsexperten schrillen bei solchen Formulierungen die Alarmglocken. Diese Lücken ermöglichen allenfalls Angriffe, die ohne jegliche Aktion der Betroffenen funktionieren.

Warum Spyware oft unentdeckt bleibt

Durch solche besonders gravierende Schwachstellen im Browser genügt schlimmstenfalls allein der Besuch einer manipulierten Webseite, um sich eine sogenannte «Zero-Click»-Schadsoftware einzufangen. Bei Spionage-Aktionen machen sich staatliche Hacker genau dies zunutze: Im aktuellen Fall haben die Angreifer im Libanon gezielt eine Webseite manipuliert, die von Journalisten genutzt wird.

Damit die Sicherheitslücke lange unbemerkt blieb, grenzten die Hacker ihre Attacke auf wenige, zuvor ausgewählte Opfer ein. Dieses spezifische Vorgehen vermindert das Risiko, dass Schwachstelle und Spionagesoftware auffliegen.

Frühere Hacker-Attacken mit Spyware von Candiru wurden bereits im Juli 2021 von Microsoft und dem auf Netzwerküberwachung spezialisierten CitizenLab der Universität von Toronto enttarnt. Konkret hatten die IT-Sicherheitsexperten über 100 Opfer der israelischen Schadsoftware aufgespürt. Danach musste Candiru ihre Spähsoftware vermutlich anpassen. Nun ist sie zurück.

CitizenLab war bereits massgeblich an der Enthüllung der berüchtigten Spionagesoftware Pegasus beteiligt, die seit Jahren von vielen Staaten zur Überwachung von potenziell Kriminellen, aber auch von Journalisten und Oppositionellen, genutzt wird. Pegasus stammt von der NSO Group, dem grössten und prominentesten israelischen Anbieter von Spyware.

Nicht ohne meine Spyware

«Fast alle Regierungen in Europa nutzen unsere Tools», behauptete Shalev Hulio, einer der Co-Gründer der berüchtigten NSO Group. Laut netzpolitik.org nutzen zwölf EU-Länder den Staatstrojaner Pegasus für iPhones und Android-Smartphones, unter anderem Polen, Ungarn, Deutschland und Spanien.

NSO und Candiru wurden laut israelischen Medienberichten von Isaac Zack gegründet, einem Risikokapital-Investor. Sie sind nur ein kleiner Teil einer internationalen und mutmasslich milliardenschweren Branche, die sich auf fortschrittliche Hacking-Tools für Staaten (Staatstrojaner) spezialisiert hat.

Insbesondere in autoritären Staaten sind Medienschaffende und Anwälte beliebte Hacking-Opfer, da sich Regierungen erhoffen, so an ihre Quellen und Mandanten, respektive an Informationen über oppositionelle Politiker zu gelangen. Aber auch in Spanien setzte der Geheimdienst CNI den Staatstrojaner ein, um katalanische Politiker und Aktivisten zu bespitzeln.

Recherchen des Westschweizer Fernsehens (RTS) zeigten vor einem Jahr: Schweizer Strafverfolgungsbehörden verwenden israelische Überwachungssoftware «vom gleichen Typ wie Pegasus». Hiesige Strafermittler dürfen Staatstrojaner seit März 2018 zur Aufklärung besonders schwerer Delikte nutzen. Der Einsatz muss von einem Gericht bewilligt werden. Allerdings waren die Spähprogramme schon zuvor im Einsatz.

Dieser Artikel erschien zuerst auf Watson.ch.