Smartphones werden weltweit von der Spionagesoftware Pegasus überwacht

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) sieht kaum Schutzmöglichkeiten vor Pegasus und hat aus diesem Grund, eine offizielle Warnung vor der Spionagesoftware veröffentlicht.

Am 18. Juli 2021 veröffentlichte ein internationales Bündnis aus Journalisten die Ergebnisse einer vorangegangenen Recherche: Demnach war es gelungen, auf den Smartphones von Politikern, Pressevertretern, Menschenrechtlern, Geschäftsleuten und deren Familienangehörigen Spuren der Überwachungssoftware Pegasus zu finden. Auslöser für die Untersuchungen war eine Liste mit 50.000 Telefonnummern angeblicher Überwachungsziele, die Amnesty International und dem Verein Forbidden
Stories im Vorfeld zugespielt worden war. Diese Liste konnte den Systemen der NSO Group zugeordnet werden. Das israelische Unternehmen bietet international Überwachungslösungen an [Zeit2021].

Umfangreiche forensische Untersuchungen von Amnesty International [AmIn2021] haben ergeben, dass drei Möglichkeiten zur Verfügung stehen, um die Geräte der Zielpersonen zu infizieren [TagS2021]:

1. Per Smishing, bei dem der Empfänger einer SMS-Nachricht dazu verleitet werden soll, auf einen Link zu klicken, über den Pegasus installiert wird.
2. Per präparierter iMessages (iPhone/iPad), bei denen Pegasus ohne aktive Handlung des Nutzers installiert wird („Zero Click“) oder
3. Per Verbindungsaufbau zu einem kompromittierten Netzwerk – wahlweise WLAN oder Mobilfunknetz – bei dem der Angreifer entweder einen Router oder IMSI-Catcher bereitstellt. Für eine erfolgreiche Infektion nutzt Pegasus den Berichten zufolge bislang unbekannte Zero-Day-Exploits. Bisher gibt es keine Hinweise darauf, dass auch deutsche Ziele von diesen Aktivitäten betroffen waren.

Bewertung

Das Bedrohungspotenzial ist als hoch zu bewerten, zumal auch aktuelle Versionen von iOS und Android immer noch als verwundbar gelten.

Weiterhin ist davon auszugehen, dass die NSO Group ständig nach neuen Exploits für unterschiedliche Plattformen sucht, sodass selbst bei einer etwaigen zukünftigen Behebung der derzeit genutzten Schwachstellen eine weitere Bedrohung durch Pegasus nicht ausgeschlossen werden kann. Die Berichte, insbesondere der technische Bericht von
Amnesty International, lassen darauf schließen, dass sich die Malware-Architektur, die operativen Prozesse und das Tooling zur Verwaltung von Zielen stark auf die Verfügbarkeit von Zero-Day-Exploits ohne Benutzerinteraktion abstützen. Es ist davon auszugehen, dass durch Sicherheitsupdates mitigierte Schwachstellen schnell durch Exploits für
andere, neue Schwachstellen ersetzt werden können.

Die Bedrohung durch Pegasus für deutsche Ziele ist demnach nicht durch technische Eigenschaften begrenzt, sondern durch die strategischen Interessen (und davon abgeleitet die Zielauswahl) der Pegasus-nutzenden Kunden.

Maßnahmen

Aufgrund der Professionalität der Angreifer ist die zielführende Umsetzung präventiver Schutzmaßnahmen sehr schwierig.

Organisationen können in Erwägung ziehen, die zur Kompromittierung genutzten Apps und Dienste – Anwendungen zum Öffnen von SMS im Allgemeinen sowie iMessage und Facetime bei Apple-Geräten– in ihrer Nutzung einzuschränken. Eine Deaktivierung kann am Gerät selbst bzw. bestenfalls zentral über ein Mobile Device ManagementSystem vorgenommen werden.

Während die Nutzung von WLAN (Angriffsvektor Nr. 3) ebenfalls noch eingeschränkt werden kann, ist spätestens bei IMSI-Catchern kaum ein praktikabler Schutz möglich. Zwar existieren verschiedene Apps, mit denen derartige Funkzellen erkannt werden sollen, ob diese Apps jedoch auch bei den hier beschriebenen, fortschrittlichen Angriffstechniken helfen, ist unklar.

IT-Verantwortlichen wird daher empfohlen, vor der Umsetzung präventiver Maßnahmen eine Risikoabschätzung durchzuführen. Hierbei sollte neben der eigenen (ggf. nur geringen) Exposition [BSI2021] auch in Betracht gezogen werden, dass sich aus dem Wechsel auf alternative Kommunikationskanäle ggf. neue Bedrohungsszenarien ergeben
– bspw. durch unzureichend verschlüsselte, alternative Messenger oder E-Mails. Aufgrund der Professionalität des Angriffswerkzeugs ist außerdem zu vermuten, dass avisierte Ziele kurzfristig über andere Wege infiziert werden können.

Als reaktive Maßnahme empfiehlt sich die Verwendung des von Amnesty International bereitgestellten Mobile Verification Toolkits.

Mit dieser Anwendung können Endgeräte auf eine Infektion mit Pegasus untersucht werden [MVT2021]. Die Menschenrechtsorganisation weist jedoch gleichzeitig darauf hin, dass Spuren auf AndroidSmartphones in diesem Kontext schwieriger zu finden sind, als auf iPhones/iPads.

Sofern Sie Spuren einer Infektion entdecken, bitten wir Sie um Kontaktaufnahme unter [email protected]

Links

[Zeit2021] Cyberangriff auf die Demokratie:
https://www.zeit.de/politik/ausland/2021-07/spionage-software-pegasus-cyberwaffe-ueberwachung-menschenrechteenthuellung
[AmIn2021] Forensic Methodology Report: How to catch NSO Group’s Pegasus:
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groupspegasus/
[TagS2021] Wie „Pegasus“ aufs Handy kommt:
https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-smartphone-101.html
[BSI2021] Cyber-Sicherheits-Exposition:
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_013.pdf
[MVT2021] MVT – Mobile Verification Toolkit:
https://github.com/mvt-project/mvt

Quelle: BSI-Cyber-Sicherheitswarnung