Erklärt: Wie Pegasus-Spyware ein Gerät infiziert; welche Daten könnten kompromittiert werden
Project Pegasus: Die israelische Spyware, von der bekannt wurde, dass sie Hunderte von Telefonen in Indien anvisiert hat, ist weniger abhängig von Klicks. Pegasus kann ein Gerät ohne das Engagement oder Wissen des Ziels infizieren.

Im November 2019 fotografierte ein Tech-Reporter aus New York City ein Abhörgerät, das auf der Milipol, einer Messe für Heimatschutz in Paris, ausgestellt wurde. Der Aussteller, die NSO Group, platzierte die Hardware auf der Rückseite eines Lieferwagens, was möglicherweise auf die Portabilität hindeutet, und sagte, dass sie bei US-Telefonnummern nicht funktionieren würde, möglicherweise aufgrund einer selbst auferlegten Einschränkung der Firma.
Seit der Gründung des israelischen Cybergiganten im Jahr 2010 war dies wahrscheinlich das erste Mal, dass eine von NSO hergestellte tragbare Basisstation (BTS) in einem Medienbericht vorgestellt wurde.
Ein BTS – oder „Rogue Cell Tower“ oder „IMSI Catcher“ oder „Stingray“ – imitiert legitime Mobilfunkmasten und zwingt Mobiltelefone in einem Umkreis, sich damit zu verbinden, damit der abgefangene Datenverkehr von einem Angreifer manipuliert werden kann. Die 2019 fotografierte BTS bestand aus horizontal gestapelten Karten, die wahrscheinlich das Abhören über mehrere Frequenzbänder ermöglichen.
Die andere Möglichkeit besteht darin, den Zugriff auf den Mobilfunkanbieter des Ziels selbst zu nutzen. In diesem Szenario bräuchte ein Angreifer keinen abtrünnigen Mobilfunkmast, sondern würde sich zur Manipulation auf die reguläre Netzwerkinfrastruktur verlassen.
So oder so, die Möglichkeit, „Network Injection“-Angriffe zu starten – die aus der Ferne ohne Beteiligung des Ziels durchgeführt werden (daher auch genannt Null-Klick ) oder Wissen —gab Pegasus , das Flaggschiffprodukt der NSO Group, ein einzigartiger Vorteil gegenüber seinen Mitbewerbern auf dem globalen Spyware-Markt.
Pegasus steht nun im Zentrum eines globalen kollaborativen Ermittlungsprojekts, bei dem festgestellt wurde, dass die Spyware unter anderem gegen Hunderte von Mobiltelefonen in Indien .
| Die Entstehung von Pegasus, vom Startup zum Spy-Tech-FührerWie unterscheidet sich Pegasus von anderer Spyware?
Pegasus alias Q Suite, das von der NSO Group alias Q Cyber Technologies als weltweit führende Cyber-Intelligence-Lösung vermarktet wird, die es Strafverfolgungs- und Geheimdiensten ermöglicht, aus der Ferne und verdeckt Daten von praktisch allen mobilen Geräten zu extrahieren, wurde von Veteranen israelischer Geheimdienste entwickelt.
Bis Anfang 2018 verließen sich die Kunden der NSO Group hauptsächlich auf SMS- und WhatsApp-Nachrichten, um Ziele dazu zu verleiten, einen schädlichen Link zu öffnen, was zu einer Infektion ihrer Mobilgeräte führen würde. Eine Pegasus-Broschüre beschrieb dies als Enhanced Social Engineering Message (ESEM). Wenn auf einen als ESEM verpackten bösartigen Link geklickt wird, wird das Telefon zu einem Server geleitet, der das Betriebssystem überprüft und den geeigneten Remote-Exploit liefert.
In seinem Bericht vom Oktober 2019 dokumentierte Amnesty International erstmals die Verwendung von „Network Injections“, die es Angreifern ermöglichten, die Spyware zu installieren, ohne dass eine Interaktion des Ziels erforderlich war. Pegasus kann solche Zero-Click-Installationen auf verschiedene Weise erreichen. Eine Over-the-Air (OTA)-Option besteht darin, heimlich eine Push-Nachricht zu senden, die das Zielgerät dazu bringt, die Spyware zu laden, wobei das Ziel die Installation nicht kennt, über die es sowieso keine Kontrolle hat.
Dies, so prahlt eine Pegasus-Broschüre, ist die Einzigartigkeit von NSO, die die Pegasus-Lösung deutlich von jeder anderen auf dem Markt erhältlichen Spyware unterscheidet.
|Elf Telefone ins Visier genommen: Von einer Frau, die den Ex-CJI der Belästigung beschuldigte, kinWelche Geräte sind anfällig?
Alle Geräte praktisch. iPhones wurden häufig mit Pegasus über die Standard-iMessage-App von Apple und das Push Notification Service (APNs)-Protokoll, auf dem sie basiert, ins Visier genommen. Die Spyware kann eine auf ein iPhone heruntergeladene Anwendung imitieren und sich selbst als Push-Benachrichtigung über die Server von Apple übertragen.
Im August 2016 meldete das Citizen Lab, ein interdisziplinäres Labor mit Sitz an der University of Toronto, der Cybersicherheitsfirma Lookout die Existenz von Pegasus, und die beiden meldeten die Bedrohung für Apple. Im April 2017 veröffentlichten Lookout und Google Details zu einer Android-Version von Pegasus.
Im Oktober 2019 beschuldigte WhatsApp die NSO Group, eine Schwachstelle in ihrer Videoanruffunktion ausgenutzt zu haben. Ein Benutzer würde einen Videoanruf erhalten, der jedoch kein normaler Anruf war. Nachdem das Telefon klingelte, übermittelte der Angreifer heimlich Schadcode, um das Telefon des Opfers mit Spyware zu infizieren. Die Person habe den Anruf nicht einmal annehmen müssen, sagte WhatsApp-Chef Will Cathcart.
DR. luke vermögen
Im Dezember 2020 wurde in einem Citizen Lab-Bericht darauf hingewiesen, wie Regierungsmitarbeiter von Juli bis August 2020 mit Pegasus 37 Telefone von Journalisten, Produzenten, Moderatoren und Führungskräften von Al Jazeera und dem in London ansässigen Al Araby TV hackten und dabei einen Zero-Day ( eine den Entwicklern unbekannte Schwachstelle) gegen mindestens iOS 13.5.1, die Apples damals neuestes iPhone 11 hacken könnte. Während der Angriff gegen iOS 14 und höher nicht funktionierte, sagte der Bericht, dass die beobachteten Infektionen wahrscheinlich nur ein winziger Bruchteil der Gesamtzahl waren Angriffe, angesichts der weltweiten Verbreitung des Kundenstamms der NSO-Gruppe und der offensichtlichen Verwundbarkeit fast aller iPhone-Geräte vor dem iOS 14-Update.
Gelangt die Spyware immer in jedes Zielgerät?
Normalerweise muss ein Angreifer dem Pegasus-System nur die Zielrufnummer für eine Netzwerkinjektion zuführen. Den Rest erledigt das System automatisch, heißt es in einer Pegasus-Broschüre, und die Spyware wird in den meisten Fällen installiert.
In einigen Fällen funktionieren Netzwerkinjektionen jedoch möglicherweise nicht. Beispielsweise schlägt die Remote-Installation fehl, wenn das Zielgerät vom NSO-System nicht unterstützt wird oder sein Betriebssystem mit neuen Sicherheitsvorkehrungen aktualisiert wird.
Anscheinend besteht eine Möglichkeit, Pegasus auszuweichen, darin, den Standardbrowser des Telefons zu ändern. Laut einer Pegasus-Broschüre wird die Installation von anderen Browsern als dem Gerätestandard (und auch Chrome für Android-basierte Geräte) vom System nicht unterstützt.
In all diesen Fällen wird die Installation abgebrochen und der Browser des Zielgeräts zeigt eine vorher festgelegte harmlose Webseite an, damit das Ziel keine Ahnung von dem fehlgeschlagenen Versuch hat. Als nächstes wird ein Angreifer wahrscheinlich auf ESEM-Klickköder zurückgreifen. Wenn alles andere fehlschlägt, heißt es in der Broschüre, kann Pegasus manuell injiziert und in weniger als fünf Minuten installiert werden, wenn ein Angreifer physischen Zugriff auf das Zielgerät erhält.
|2019 und jetzt entgeht die Regierung der Schlüsselfrage: Hat sie Pegasus gekauft?Welche Informationen können kompromittiert werden?
Einmal infiziert, wird ein Telefon zu einem digitalen Spion unter der vollständigen Kontrolle des Angreifers.
Nach der Installation kontaktiert Pegasus die Command and Control (C&C)-Server des Angreifers, um Anweisungen zu erhalten und auszuführen und die privaten Daten des Ziels zurückzusenden, einschließlich Passwörter, Kontaktlisten, Kalenderereignisse, Textnachrichten und Live-Sprachanrufe (auch solche über End-to- -end-verschlüsselte Messaging-Apps). Der Angreifer kann die Kamera und das Mikrofon des Telefons steuern und die GPS-Funktion verwenden, um ein Ziel zu verfolgen.
Um einen übermäßigen Bandbreitenverbrauch zu vermeiden, der ein Ziel alarmieren könnte, sendet Pegasus nur geplante Updates an einen C&C-Server. Die Spyware wurde entwickelt, um forensische Analysen zu umgehen, die Erkennung durch Antiviren-Software zu vermeiden und kann bei Bedarf vom Angreifer deaktiviert und entfernt werden.
Welche Vorkehrungen kann man treffen?
Theoretisch kann eine kluge Cyber-Hygiene vor ESEM-Ködern schützen. Aber wenn Pegasus eine Schwachstelle im Betriebssystem des Telefons ausnutzt, kann man nichts tun, um eine Netzwerkinjektion zu stoppen. Schlimmer noch, man merkt es nicht einmal, es sei denn, das Gerät wird in einem digitalen Sicherheitslabor gescannt.
Der Wechsel zu einem veralteten Mobilteil, das nur einfache Anrufe und Nachrichten zulässt, wird die Datenexponierung sicherlich begrenzen, aber möglicherweise das Infektionsrisiko nicht wesentlich verringern. Auch alle alternativen Geräte, die für E-Mails und Apps verwendet werden, bleiben anfällig, es sei denn, man verzichtet ganz auf die Nutzung dieser wesentlichen Dienste.
Daher ist es das Beste, über alle Betriebssystem-Updates und Sicherheitspatches, die von den Geräteherstellern veröffentlicht werden, auf dem Laufenden zu bleiben und zu hoffen, dass Zero-Day-Angriffe seltener werden. Und wenn man das Budget hat, ist ein regelmäßiger Wechsel des Mobilteils vielleicht die effektivste, wenn auch teuerste Lösung.
Da sich die Spyware in der Hardware befindet, muss der Angreifer das neue Gerät bei jeder Änderung erfolgreich infizieren. Dies kann sowohl logistische (Kosten) als auch technische (Sicherheits-Upgrade) Herausforderungen mit sich bringen. Es sei denn, man ist mit unbegrenzten Ressourcen konfrontiert, die normalerweise mit der Staatsmacht verbunden sind.
Teile Mit Deinen Freunden: