Spähsoftware gegen Medienschaffende eingesetzt
Die Smartphones von mindestens fünf Medienschaffenden und Oppositionellen wurden mit Spähsoftware des noch wenig bekannten israelischen Herstellers QuaDream überwacht. Das geht aus einem neuen Bericht von Sicherheitsforschern des Citizen Labs an der Universität Toronto hervor. Mindestens zehn Länder sollen zu den Kunden von QuaDream zählen.
Dem Bericht zufolge hatte Microsoft Teile der Spähsoftware “Reign” für eine nähere Untersuchung mit den Sicherheitsforschern geteilt. Dem Citzen Lab gelang es daraufhin, mindestens fünf Personen zu identifizieren, die mithilfe der Überwachungssoftware ausgespäht wurden.
Es soll sich um Medienschaffende, Oppositionelle sowie um einen Mitarbeiter einer Nichtregierungsorganisation handeln. Die iPhones der Betroffenen wurden dem Bericht zufolge in Europa, dem Nahen Osten sowie in Südostasien und Zentralasien überwacht. Nähere Informationen zu den ausspionierten Personen haben die Sicherheitsforscher nicht bekanntgegeben.
Zero-Click-Angriffe
Auch den Angriffsweg konnten die Experten nachvollziehen: So soll eine Sicherheitslücke ausgenutzt worden sein, die im iPhone-Betriebssystem iOS 14.4 vorhanden war. Die Angreifer schickten hierfür manipulierte iCloud-Kalender-Einladungen an die Spionageziele, die diesen nicht angezeigt wurden und die Telefone automatisch mit der Spähsoftware infiltrierten. Bei solchen sogenannten Zero-Click-Angriffen wird die Spähsoftware installiert, ohne dass die Betroffenen etwas aktiv anklicken oder von den Angriffen mitbekommen.
“Reign” übernimmt das infizierte Smartphone anschließend komplett. Den Sicherheitsforschern zufolge können Angreifer unter anderem Anrufe aufnehmen sowie Mikrofon und Kamera des Gerätes unbemerkt anschalten. Auch der Standort des Telefons lässt sich verfolgen.
Die Sicherheitsforscher konnten QuaDream-Systeme identifizieren, die in Bulgarien, der Tschechischen Republik, Ungarn, Ghana, Mexiko, Rumänien, Singapur, den Vereinigten Arabischen Emiraten und in Usbekistan betrieben werden.
Auch in Israel sollen die Systeme aktiv sein – es sei aber unklar, ob diese von Regierungseinrichtungen oder von QuaDream selbst betrieben werden.
Laut dem Bericht verkauft QuaDream sein Überwachungswerkzeug nur an Regierungen. Die Sicherheitsforscher kritisieren, dass in Mexiko, den Vereinigten Arabischen Emiraten und Ungarn schon früher Menschenrechtler und Medienschaffende mit Spähsoftware überwacht wurden. Auch in anderen der identifizierten Länder sei die Menschenrechtslage teils schlecht; in Usbekistan schränke das Regime beispielsweise grundlegende Menschenrechte erheblich ein.
Wenig bekannte Firma
Wie das Citizen Lab berichtet, wurde QuaDream unter anderem von ehemaligen NSO-Angestellten gegründet. Anders als die israelische NSO Group, die hinter der Spähsoftware Pegasus steht, sei QuaDream in der Öffentlichkeit bisher aber kaum präsent. Das Unternehmen hat keine Webseite und war bisher Gegenstand nur weniger Medienberichte.
Die israelische Zeitung Haaretz hatte beispielsweise im Jahr 2021 berichtet, QuaDream habe seine Spähsoftware an Saudi-Arabien verkauft. Im vergangenen Jahr hatte die Nachrichtenagentur Reuters zudem über die Ausnutzung einer Sicherheitslücke durch QuaDream berichtet.
Ende vergangenen Jahres hatte auch der Facebook-Konzern Meta das israelische Unternehmen in einem Sicherheitsbericht erwähnt. Meta hatte demnach 250 Facebook- und Instagram-Konten abgeschaltet, die mit dem Spionagesoftware-Hersteller in Verbindung standen. Diese seien verwendet worden, um die Fähigkeiten der Spähsoftware zu testen.
Wie die Sicherheitsforscher des Citizen Labs nun unter Berufung auf Gerichtsunterlagen berichten, wurde die “Reign”-Spähsoftware international von der in Zypern ansässigen Firma InReach vertrieben. Nach Einschätzung der Experten könnte diese Kooperation dazu gedient haben, Exportkontrollen zu umgehen.
Aktuell befinden sich QuaDream und InReach in einem Rechtsstreit – Hintergrund sind ausstehende Zahlungen des Distributors an den Spähsoftware-Hersteller.
Die Sicherheitsforscher schreiben, QuaDream habe sich eine Zeit lang erfolgreich der Aufmerksamkeit entziehen können. Der Bericht erinnere aber daran, dass nicht nur eine einzelne Firma Spähsoftware anbiete. Die Gruppe der Spionageopfer aus Mitgliedern der Zivilgesellschaft und Journalisten sei dabei vorhersehbar gewesen – auch Pegasus, die Spähsoftware Predator von Cytrox und Überwachungswerkzeuge von Firmen wie FinFisher seien gegen solche Personen eingesetzt worden.
Die Sicherheitsforscher mahnen, solange die “außer Kontrolle geratene Verbreitung kommerzieller Spähsoftware” nicht durch staatliche Vorschriften eingedämmt werde, werde wahrscheinlich auch die Zahl der Missbrauchsfälle weiter steigen – sowohl unter Einsatz von Überwachungssoftware von bekannten Unternehmen als auch solchen, die bisher noch im Verborgenen operieren. (js)