Blogheim.at Logo
Samstag, 29 Januar 2022

IT-Bedrohungslage*: 2 / Gelb

Smartphones werden weltweit von der Spionagesoftware Pegasus überwacht

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) sieht kaum Schutzmöglichkeiten vor Pegasus und hat aus diesem Grund, eine offizielle Warnung vor der Spionagesoftware veröffentlicht.

Am 18. Juli 2021 veröffentlichte ein internationales Bündnis aus Journalisten die Ergebnisse einer vorangegangenen Recherche: Demnach war es gelungen, auf den Smartphones von Politikern, Pressevertretern, Menschenrechtlern, Geschäftsleuten und deren Familienangehörigen Spuren der Überwachungssoftware Pegasus zu finden. Auslöser für die Untersuchungen war eine Liste mit 50.000 Telefonnummern angeblicher Überwachungsziele, die Amnesty International und dem Verein Forbidden
Stories im Vorfeld zugespielt worden war. Diese Liste konnte den Systemen der NSO Group zugeordnet werden. Das israelische Unternehmen bietet international Überwachungslösungen an [Zeit2021].

Pegasus ist gemäß Medienberichten in der Lage, auf Apple- und Android-Devices Gespräche
mitzuschneiden, die Verschlüsselung von Chatnachrichten zu umgehen, Kameras zu aktivieren und Standortdaten auszulesen.

Umfangreiche forensische Untersuchungen von Amnesty International [AmIn2021] haben ergeben, dass drei Möglichkeiten zur Verfügung stehen, um die Geräte der Zielpersonen zu infizieren [TagS2021]:

  1. Per Smishing, bei dem der Empfänger einer SMS-Nachricht dazu verleitet werden soll, auf einen Link zu klicken, über den Pegasus installiert wird.
  2. Per präparierter iMessages (iPhone/iPad), bei denen Pegasus ohne aktive Handlung des Nutzers installiert wird („Zero Click“) oder
  3. Per Verbindungsaufbau zu einem kompromittierten Netzwerk – wahlweise WLAN oder Mobilfunknetz – bei dem der Angreifer entweder einen Router oder IMSI-Catcher bereitstellt. Für eine erfolgreiche Infektion nutzt Pegasus den Berichten zufolge bislang unbekannte Zero-Day-Exploits. Bisher gibt es keine Hinweise darauf, dass auch deutsche Ziele von diesen Aktivitäten betroffen waren.

Bewertung

Das Bedrohungspotenzial ist als hoch zu bewerten, zumal auch aktuelle Versionen von iOS und Android immer noch als verwundbar gelten.

Weiterhin ist davon auszugehen, dass die NSO Group ständig nach neuen Exploits für unterschiedliche Plattformen sucht, sodass selbst bei einer etwaigen zukünftigen Behebung der derzeit genutzten Schwachstellen eine weitere Bedrohung durch Pegasus nicht ausgeschlossen werden kann. Die Berichte, insbesondere der technische Bericht von
Amnesty International, lassen darauf schließen, dass sich die Malware-Architektur, die operativen Prozesse und das Tooling zur Verwaltung von Zielen stark auf die Verfügbarkeit von Zero-Day-Exploits ohne Benutzerinteraktion abstützen. Es ist davon auszugehen, dass durch Sicherheitsupdates mitigierte Schwachstellen schnell durch Exploits für
andere, neue Schwachstellen ersetzt werden können.

Die Bedrohung durch Pegasus für deutsche Ziele ist demnach nicht durch technische Eigenschaften begrenzt, sondern durch die strategischen Interessen (und davon abgeleitet die Zielauswahl) der Pegasus-nutzenden Kunden.

Bei allen Überlegungen ist jedoch zu beachten, dass es sich beim beschriebenen Sachverhalt den Medienberichten zufolge um dedizierte Angriffe auf einzelne Ziele handelt – nicht um eine auf Massenverbreitung abzielende Kampagne. Infektionen beschränken sich nach aktuellem Kenntnisstand somit auf ausgewählte Personenkreise und Branchen.

Maßnahmen

Aufgrund der Professionalität der Angreifer ist die zielführende Umsetzung präventiver Schutzmaßnahmen sehr schwierig.

Organisationen können in Erwägung ziehen, die zur Kompromittierung genutzten Apps und Dienste – Anwendungen zum Öffnen von SMS im Allgemeinen sowie iMessage und Facetime bei Apple-Geräten– in ihrer Nutzung einzuschränken. Eine Deaktivierung kann am Gerät selbst bzw. bestenfalls zentral über ein Mobile Device ManagementSystem vorgenommen werden.

Während die Nutzung von WLAN (Angriffsvektor Nr. 3) ebenfalls noch eingeschränkt werden kann, ist spätestens bei IMSI-Catchern kaum ein praktikabler Schutz möglich. Zwar existieren verschiedene Apps, mit denen derartige Funkzellen erkannt werden sollen, ob diese Apps jedoch auch bei den hier beschriebenen, fortschrittlichen Angriffstechniken helfen, ist unklar.

IT-Verantwortlichen wird daher empfohlen, vor der Umsetzung präventiver Maßnahmen eine Risikoabschätzung durchzuführen. Hierbei sollte neben der eigenen (ggf. nur geringen) Exposition [BSI2021] auch in Betracht gezogen werden, dass sich aus dem Wechsel auf alternative Kommunikationskanäle ggf. neue Bedrohungsszenarien ergeben
– bspw. durch unzureichend verschlüsselte, alternative Messenger oder E-Mails. Aufgrund der Professionalität des Angriffswerkzeugs ist außerdem zu vermuten, dass avisierte Ziele kurzfristig über andere Wege infiziert werden können.

Als reaktive Maßnahme empfiehlt sich die Verwendung des von Amnesty International bereitgestellten Mobile Verification Toolkits.

Mit dieser Anwendung können Endgeräte auf eine Infektion mit Pegasus untersucht werden [MVT2021]. Die Menschenrechtsorganisation weist jedoch gleichzeitig darauf hin, dass Spuren auf AndroidSmartphones in diesem Kontext schwieriger zu finden sind, als auf iPhones/iPads.

Sofern Sie Spuren einer Infektion entdecken, bitten wir Sie um Kontaktaufnahme unter [email protected]


Links
[Zeit2021] Cyberangriff auf die Demokratie:
https://www.zeit.de/politik/ausland/2021-07/spionage-software-pegasus-cyberwaffe-ueberwachung-menschenrechteenthuellung
[AmIn2021] Forensic Methodology Report: How to catch NSO Group’s Pegasus:
https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groupspegasus/
[TagS2021] Wie „Pegasus“ aufs Handy kommt:
https://www.tagesschau.de/investigativ/ndr-wdr/spaeh-software-pegasus-smartphone-101.html
[BSI2021] Cyber-Sicherheits-Exposition:
https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_013.pdf
[MVT2021] MVT – Mobile Verification Toolkit:
https://github.com/mvt-project/mvt

Quelle: BSI-Cyber-Sicherheitswarnung


Unterstützen

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung! Überhaupt jetzt, denn wir verzichten ab sofort auf lästige Werbebanner, denn wir wollen nicht länger Sklaven der Werbeindustrie sein und diesen Zustand möchten wir bewusst aufrechterhalten. Dafür gibt es einen guten Grund. Dieser Grund nennt sich: Unabhängigkeit.


Exklusive Inhalte! Werde jetzt mimikamaPLUS- Abonnent und unterstütze so unser Handeln. Zusätzlich erhältst du exklusive Inhalte und die gesamte Webseite werbefrei.

Aktuelle Artikel

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.