Iranische Spionageaktion: Kommunikation per Telegram kann überwacht werden

Die Kommunikation im Messenger Telegram ist verschlüsselt, damit die Nachrichten nicht eingesehen werden können. Sicherheitsforscher von Check Point sind jetzt auf eine sechs Jahre währende Spionage-Kampagne iranischer Behörden gegen Abweichler gestoßen. Dies war möglich, weil u.a. das beliebte Nachrichtenprogramm Telegram missbraucht wurde, um die Kommunikation zu belauschen.


Anzeige

Die Information erreichte mich bereits vor einigen Tagen, ich packe es mal in den Blog. "Obwohl Telegrams Nachrichten nicht zu entschlüsseln sind, kann der Dienst eindeutig durch Hacking geknackt werden", erklärt Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies. Kürzlich haben er und seine Kollegen die bereits erwähnte Spionage-Kampagne iranischer Behörden enttarnt. Die Ziel-Personen scheinen handverlesen gewesen zu sein.

Spionage-Kampagne iranischer Behörden enttarnt

Die Sicherheitsforscher von Check Point® Software Technologies Ltd. fanden heraus, dass über sechs Jahre lang Abweichler, auch im Ausland, überwacht wurden. Der Angriff erfolgte dabei über mehrere Wege. Ein Ansatz bestand im Missbrauch von Telegram, um die Kommunikation auszulesen. "Die Überwachung von Diensten für Sofortnachrichten, insbesondere des vermeintlich als unantastbar geltenden Telegram, ist so allgegenwärtig, dass sich jeder Nutzer über diese Möglichkeit im Klaren sein sollte," so Finkelsteen weiter.

Neben dem Lauschangriff gegen Telegram kamen andere, übliche Verfahren zum Einsatz, wie Phishing und Hacking-Attacken gegen Mobilgeräte, Computer und Web-Anwendungen. "Diese Versuche lassen sich eindeutig derselben Operation zuordnen, was belegt, dass sie im Auftrag nachrichtendienstlicher und nationaler Interessen geschehen", erläutert Finkelsteen. Unter anderem wurden die Mikrofone der Smartphones angezapft, um die Umgebungsgeräusche mitzuschneiden, und die Codes von Zwei-Faktor-Authentifizierungen ausgelesen, um Konten einzusehen. Außerdem hingen alle Ereignisse in Bezug auf die Angriffswege zusammen.

Per Pishing Kontrolle über Telegram erlangt

Malware-verseuchte Dokumente, die über Phishing verschickt wurden, bewirkten beim Öffnen, dass die Nutzer die Kontrolle über ihre Telegram-Konten verloren – ohne es zu merken. Die hauptsächliche Aufgabe dieser Malware war es, so viele Informationen zu stehlen, wie möglich.  Ihre Ziele waren zwei Apps: Telegram Desktop und KeePass, der bekannte Passwort-Manager. Der Schädling war in der Lage, alle wichtigen Telegram-Dateien auf den Server der Angreifer zu übertragen, um diesen volle Kontrolle über das Telegram-Konto zu ermöglichen. Er konnte sogar Informationen aus dem Bereich des Passwort-Managers stehlen, lud jede Datei einer definierten Endung hoch, protokollierte die Zwischenablage und machte heimlich Screenshots. Um der Enttarnung und Entfernung zu entgehen, implementierte die Malware außerdem einen Mechanismus, der auf dem Update-Prozess von den Telegram selbst basiert.

Hintertür in Android

Zusätzlich fanden die Sicherheitsforscher eine unbekannte Hintertür im Android-Betriebssystem, die während der Kampagne ausgenutzt wurde. Diese tarnt sich als Sprachdienst, der persisch sprechenden Iranern in Schweden dabei helfen soll, ihren Führerschein zu bestehen. In Wirklichkeit ist die App in der Lage, sämtliche SMS eines Mobilgeräts zu stehlen und heimlich die Audio-Aufnahme-Funktion des Handys zu starten. Darüber hinaus kann sie jede Zwei-Faktor-SMS unbemerkt an eine Telefonnummer weiterleiten, die vom Command-and-Control-Server der Angreifer bestimmt wird und personenbezogene Daten, wie Kontakte, auslesen. Schließlich kann sie Phishing gegen Google betreiben und systemrelevante Informationen des Geräts auslesen, wie installierte Anwendungen und laufende Prozesse.

Es war vor dem Angriff gewarnt worden


Anzeige

Als würde das nicht genügen, haben einige mit der Kampagne in Verbindung stehende Webseiten sich als Telegram-Seiten ausgegeben – waren jedoch für Phishing bestimmt. Überraschend für die Sicherheitsforscher war die Entdeckung, dass einige iranische Telegram-Kanäle vor diesen Fälschungen gewarnt haben und behaupteten, die Regierung stecke dahinter. Laut diesen würden die zugehörigen Phishing-Nachrichten durch einen Telegram-Bot versendet. Die Nachrichten selbst machten den Ziel-Personen Angst, weil diese angeblich ihre Telegram-Konten inkorrekt nutzten und gesperrt würden, falls sie nicht dem beigefügten Link folgten. Einer der warnenden Telegram-Kanäle zeigte sogar Screenshots des Phishings und deckte dabei auf, dass die Angreifer das offizielle Telegram-Konto nachahmten. Um legitim zu erscheinen, schickte dieses Konto fünf Tage vor der Phishing-Nachricht einen Hinweis an die Ziel-Personen, dass ein neues Programm-Update bevorstünde.

Es ist nicht das erste Mal, dass Telegram von Aktivisten genutzt wurde, weil sie glaubten, sie seien absolut sicher vor Überwachung, um dann von einer bösen Überraschung aufgeweckt zu werden. Bereits 2019, während der Hochphase der Proteste in Hongkong gegen ein Auslieferungsgesetz nach China wurde Telegram mehrfach ins Visier genommen. Im Juni war bekannt geworden, dass sehr viele Cyber-Angriffe von chinesischen IP-Adressen ausgingen und die Kommunikation stark störten. Im August kam dann die Nachricht, dass wohl eine Sicherheitslücke von chinesischen Behörden ausgenutzt wurde, um Telefonnummern auszulesen, Chat-Gruppen zu überwachen und einzelne Personen zu identifizieren. Vor Kurzem, im Juni 2020, zeigte sich zudem, dass die Daten von Millionen von Telegram-Nutzern im Darknet gelandet sind, weil der Import-Dienst der App von Hackern geknackt und eine Datenbank in der Größe von 900 Megabyte gestohlen wurde. Interessant daran ist vor allem in diesem Zusammenhang, dass laut Telegram 70 Prozent der betroffenen Konten aus dem Iran stammen sollen. Alle Erkenntnisse der Sicherheitsforscher von Check Point über den iranischen Lauschangriff lesen Sie in diesem checkpoint-Blog-Beitrag.

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity' Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Iranische Spionageaktion: Kommunikation per Telegram kann überwacht werden

  1. Nina sagt:

    "mehrstufige Sicherheitsarchitektur ‚Infinity' Total Protection mit Gen V Advanced Threat Prevention"

    Raschel… schnell mal den Bullshit-Bingo Zettel vorkramen.

  2. Nobody sagt:

    In dem Zusammenhang fällt mir ein, dass der Iran gerade ein Manöver mit China und Russland abhält. Es tun sich neue Allianzen auf.

  3. Martin sagt:

    Da wird einem wirklich Angst und Bange! Smartphones sind einfach ideale Wanzen und dessen sollten sich die Nutzer stets bewusst sein. Das wird in Zukunft auch sicher noch viel schlimmer, statt besser.

    • doerans sagt:

      wieso "wird"?!
      Bereits 2012 hat J. Appelbaum vor dieser Technik gewarnt, da reine Spy-Tech, entweder komplett neu konstruieren (Netz UND Geräte) oder gar nicht benutzen. Und was machen die Schafe? Fleissig benutzen, weil glänzt doch so schön, und kann auch noch fotos…
      ;-P

      https://www.zeit.de/digital/datenschutz/2012-02/jacob-appelbaum-interview/komplettansicht

      • 1ST1 sagt:

        Da sieht man, nicht Windows 10 ist kaputt, sondern diese ganze Smartphone-Software/Systemlandschaft.

        • Günter Born sagt:

          Tscha, ist aber noch nicht angekommen. Kürzlich las ich, dass man an einer elektronischen Ausweiskopie für Smartphones zur Authentifizierung arbeite.

          • Ralf S. sagt:

            Hatte ich auch gelesen… – Und mir ist dabei – und vor allem nach weiterem Nachdenken darüber – ziemlich schlecht geworden…! :-( Die Frage ist natürlich mal wieder, wie fast immer, ist und bleibt die Nutzung freiwillig, oder wird sie (irgendwann) verpflichtend? Aber auch bei Freiwilligkeit wird es wieder jede Menge "Technikaffine" geben, die das natürlich wieder sofort haben werden und voller Freude dann jedem erzählen, was sie wieder tolles Neues auf ihrem Schlauphon haben – und somit u. U. wieder ein Stück gläserner und für Betrüger interessanter geworden sind…

Schreibe einen Kommentar zu tech Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.