Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones

Sicherheit (Pexels, allgemeine Nutzung)[English]Es fing mit einer zugespielten Liste mit ca. 50.000 Telefonnummern an. Investigative Recherchen von Medien haben dann Licht in den Bereich der Überwachung von Smartphone-Nutzern durch Regierungen und private Organisationen gebracht. Weltweit wurden zahlreiche Personen mittels der Pegasus-Spionagesoftware der israelischen NSO-Group ausspioniert. Die Firma bot auch Regimes wie Ungarn oder autoritären Staaten die Möglichkeit, Systemkritiker zu überwachen. Ergänzung (29.7.2021): Die Büros der NSO-Group wurden von der israelischen Regierung durchsucht.


Anzeige

Die israelische NSO Group

NSO Group Technologies ist ein israelisches Technologieunternehmen, mit Sitz in Herzliya in der Nähe von Tel Aviv. Die um die 500 Mitarbeiter entwickelt seit der Gründung des Unternehmens im Jahr 20210 hauptsächlich Software und Überwachungstechnologie. Die NSO Group ist für seine Spyware Pegasus bekannt, die die Fernüberwachung von Smartphones (Android, iOS etc.) ermöglicht.

Der Trojaner ist binnen Sekunden unbemerkt auf den Geräten installierbar. Dann lassen sich Telefonate, SMS, E-Mails und sogar verschlüsselte Chats überwachen. Auch der unbemerkte Zugriff auf Mikrofon und Kamera ist möglich. Diese Software kann man kaufen, auch wenn die offizielle Darstellung gesagt, dass die NSO Group seine Spionagesoftware nur an staatliche Stellen abgibt, die sie ausschließlich für den Kampf gegen den Terrorismus und schwere Kriminalität einsetzen sollen.

Die Telefonliste mit 50.000 Nummern

Durch ein Leck ist eine Liste, die 50.000 Telefonnummern von mindesten zehn NSO Group-Kunden, die Einträge von 2016 bis 2021 umfasst, in die Hände von Amnesty International und Forbidden Stories, eine in Paris ansässige Medien-Non-Profit-Organisation, gelangt. Recherchen eines internationalen Journalistenkonsortiums legen nahe, dass Hunderte Journalisten, Menschenrechtsaktivisten, Anwälte und Politiker durch die Pegasus-Spionagesoftware über ihre Smartphones ausgespäht wurden.

Unter anderem wurden Menschen im Umfeld des ermordeten saudischen Journalisten Jamal Khashoggi gezielt überwacht, wie die Tagesschau hier berichtet. In der ausgewerteten Telefonliste fanden sich auch die Nummern von mehr als 180 Journalistinnen und Journalisten, unter ihnen die Chefredakteurin der britischen "Financial Times", Reporterinnen der französischen Medien "Le Monde", "Mediapart" und "Le Canard Enchainé", eine Reporterin des US-Fernsehsenders CNN, von "The Wire" in Indien, ein AFP-Korrespondent in Marokko, eine Fernsehmoderatorin in Mexiko und Redakteure aus Ungarn und Aserbaidschan, wie die Tagesschau hier berichtet.

Stimmen aus dem Rechercheverbund

"Das Pegasus-Projekt entlarvt, wie NSOs Spyware eine Waffe der Wahl für repressive Regierungen ist, die versuchen, Journalisten zum Schweigen zu bringen, Aktivisten anzugreifen und abweichende Meinungen zu unterdrücken, was unzählige Leben in Gefahr bringt", sagte Agnès Callamard, Generalsekretärin von Amnesty International.

"Diese Enthüllungen widerlegen alle Behauptungen von NSO, dass solche Angriffe selten sind und auf eine böswillige Verwendung ihrer Technologie zurückzuführen sind. Während das Unternehmen behauptet, dass seine Spionagesoftware nur für legitime kriminelle und terroristische Ermittlungen eingesetzt wird, ist es klar, dass seine Technologie systemischen Missbrauch ermöglicht. Sie malen ein Bild der Legitimität, während sie von weit verbreiteten Menschenrechtsverletzungen profitieren."

"Es ist klar, dass ihre Handlungen größere Fragen über den weitgehenden Mangel an Regulierung aufwerfen, der einen wilden Westen mit zügellosen, missbräuchlichen Angriffen auf Aktivisten und Journalisten geschaffen hat. Bis diese Firma und die gesamte Industrie zeigen kann, dass sie in der Lage ist, die Menschenrechte zu respektieren, muss es ein sofortiges Moratorium für den Export, den Verkauf, den Transfer und die Nutzung von Überwachungstechnologie geben."

Der deutsche Journalist Georg Mascolo, Leiter des deutschen Rechercheverbunds (NDR, WDR etc.) erklärt in Interviews wie hier, dass die Privatisierung der Geheimdienste durch Software der NSO-Group stattgefunden habe. Autoritäre Regime kämen an Technologien zur Überwachung und Unterdrückung der Opposition, die sich nicht haben sollten.


Anzeige

Die NSO Group weist Vorwürfe zurück

In einer Stellungnahme einer US-Kanzlei an Stories weist die NSO Group alle Vorwürfe zurück. The Guardian hat hier die Aussagen zusammen gezogen. Die Tagesschau zitiert hier aus der Stellungnahme:

die Erfassung von Telefonnummern könnte viele legitime und vollständige saubere Anwendungsmöglichkeiten haben, die nichts mit Überwachung oder NSO zu tun hätten. Selbst wenn diese Nummern bei NSO eingespeist worden wären, müsse dies "nicht zwingend bedeuten", dass dies auch "Teil eines Überwachungsversuchs" gewesen sei. Zudem sage dies nichts darüber aus, ob der Einsatz von Spionagesoftware auch erfolgreich gewesen sei. Zudem habe NSO keinerlei Kenntnis von den Aufklärungszielen seiner Kunden. Der französische Verein Forbidden Stories ziehe "falsche, zu weit reichende und verleumderische Schlüsse aus der Liste von Daten".

An dieser Stelle ist es ganz interessant, sich die Stellungnahme der Firma, die ihre Software als Hilfe sieht, um "Terrorangriffe, Waffengewalt, Auto-Explosionen und Selbstmordanschläge zu verhindern" und  "um Pädophilie-, Sex- und Drogenhändlerringe zu zerschlagen, vermisste und entführte Kinder zu lokalisieren", mal auf der Zunge zergehen zu lassen. Interessant ist das Interview mit Georg Mascolo, welches im Tagesschau-Artikel eingebunden ist, zu diesem Thema.

Pegasus-Trojaner auf zahlreichen Handys gefunden

Die Probe aufs Exempel des Rechercheverbunds bestand darin, nachzusehen, ob Geräte infiziert wurden und ob Spuren des Pegasus-Trojaners da zu finden sind. Wenn ja alles so wie von der NSO Group behauptet abläuft, dürften da ja keine Trojaner auf Geräten von Mitgliedern der Presse oder von Nichtregierungsorganisationen zu finden sein. Die beteiligten Medien haben dann die Liste der Telefonnummern und die identifizierten Geräte stichprobenartig abgeglichen. Dazu schreibt die Tagessschau:

IT-Experten vom Amnesty International Security Lab in Berlin und vom Citizen Lab der Universität von Toronto führten forensische Untersuchungen an 44 iPhones von Personen durch, deren Nummern augenscheinlich von NSO-Kunden als potenzielle Ziele ausgewählt worden waren. Dabei konnten auf 37 Geräten tatsächlich Spuren von Angriffen mit der "Pegasus"-Software festgestellt werden, auf einigen Handys war der Trojaner offenbar noch bis Juli dieses Jahres aktiv.

Auch Handys von Journalisten aus Ungarn waren mit der Spähsoftware ausgestattet. Im Tagesschau-Beitrag werden konkrete Beispiele genannt, dieser englische Artikel von Amnesty International listet weitere Fälle aus anderen Ländern wie Indien oder Mexiko und Aserbaidschan auf. Die Süddeutsche hat hier erste Artikel veröffentlicht. Auch die Zeit befasst sich in mehreren Artikeln, u.a. hier und hier mit dem Thema. Ergänzung: VomSicherheitsanbieter Cyble habe ich noch diesen Artikel zum Thema erhalten.

Details von Amnesty International

Die Pegasus-Software ist wohl kein Werkzeug für eine Massenüberwachung, sondern wird über bekannte Schwachstellen auf den Geräten ausgewählter Opfer gezielt platziert. Laut Medienberichten verlangt die NSO Group pro überwachtem Gerät mehrere Tausend Euro. Allerdings wurden in Europa 1.000 Telefonnummern in der oben erwähnten Liste gefunden.

Amnesty International hat den Artikel Forensic Methodology Report: How to catch NSO Group's Pegasus veröffentlicht, der gezielte Informationen liefert, was auf infizierten Geräten mit forensischen Methoden gefunden wurde. Auch der britische Guardian hat einen ganz lesenswerten englischsprachigen Artikel veröffentlicht.

Analyse mit Mobile Verification Toolkit

Nachtrag: Amnesty International hat ein auf Python basierendes Mobile Verification Toolkit (MVT) veröffentlicht. Das ist eine Sammlung von Dienstprogrammen zur Vereinfachung und Automatisierung des Prozesses der Erfassung forensischer Spuren, die zur Identifizierung einer potenziellen Kompromittierung von Android- und iOS-Geräten hilfreich sind. Eine Einführung findet sich in diesem Artikel, das Mobile Verification Toolkit (MVT) findet sich dagegen auf GitHub. Ein Artikel zum Tool habe ich auf Techchrunch gefunden.

Ergänzung (29.7.2021): Die Büros der NSO Group wurden von der israelischen Regierung (Verteidigungsministerium) durchsucht. Details in diesem The Records Artikel. Ist aber wohl eher ein "formales Treffen diversere Regierungsmitarbeiter" mit NSO gewesen.

Ähnliche Artikel:
DevilsTongue Spionagesoftware der israelischen Firma Candiru nutzte Windows-Schwachstellen


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

28 Antworten zu Pegasus-Spionagesoftware der NSO-Group auf vielen Smartphones

  1. Der Name sagt:

    regimes wie ungarn? was ist mit dem regime in deutschland? mutti ist sich keiner unschuld bewusst oder wie ist das?

    • mvo sagt:

      Oh Bitte…
      Nicht auch noch hier so ein Geschwurbel…

      • Andi sagt:

        Dann sollte man solche dummen Formulierungen eben lassen. Als wenn Ungarn der Hort des Bösen wäre. Einfach mal mit Ungarn unterhalten.

      • Anonymous sagt:

        Das hat "Der Name" vielleicht unshön ausgedrückt aber so ganz unberechtigt finde ich die Aussage leider auch nicht. Ich sehe hier in Deutschland seit geraumer Zeit einige Antidemokratische Aktionen seitens Regierung. Ich finde auch nicht das wir wirklich in einer Demokratie leben. Denn sonst könnte es gar nicht sein das ständig Gesezte gemacht werden die nur einer Minderheit nutzen und vorallem immer der Minderheit der es eh schon besser als dem Rest geht. Wenn man allerdings in die Schweiz sieht weiß an das direkte Demokratie auch oft zu blöden Entscheidungen führt! Die wirklich wichtigen Nachrichten findet man nicht bei der Tagesschau oder wenn dann oft nur irgendwo versteckt als kleine Meldung. Immer wenn es um die Einschränkungen der Grundrechte oder um mehr Überwachung geht muss ich die Nachrichten dazu auf irgendeiner IT Seite lesen.

        Sicher gilt hier grundsätzlich noch die Meinungsfreiheit, wenn auch mit gewissen kleinen Einschränkungen. Die Opposition wird offenkundig nicht verfolgt. Bei der Überwachung, tja da bin ich mir nicht mehr so sicher. Grundsätzlich kann man heute in Deutschland bei jeden Mist überwacht werden. In manchen Bundesländern kann man auch Mal ohne großen Verdacht eingesperrt werden. Grundsätzlich ist hier alles noch einigermaßen im Rahmen aber die Tendenz ist nicht zum Besseren! Ich fühle mich nicht mehr so frei wie ich das schonmal in diesem Land getan habe. Freiheit bedeutet für mich aber auch mehr als irgendeinen Scheiß online oder offline kaufen zu können!

    • Mira Bellenbaum sagt:

      Hör auf Pillen zu nehmen!
      Dieses blöde Geschwubbel geht einem echt auf den Wecker!

    • Günter Born sagt:

      Ich kürze es mal ab. Mit der Begrifflichkeit "mutti ist sich keiner unschuld bewusst" – was schlicht grammatikalisch falsch ist – Du wolltest "keiner Schuld bewusst" schreiben – kickst Du dich aus einer sachlichen Diskussion heraus.

      1. Man muss nicht mit der Politik von Frau Dr. Angela Merkel einverstanden sein. Aber despektierliche Begriffe wie Mutti aus dem Schlappekicker und Stammtisch-Niveau von Nix-Blickern für einen Menschen zu verwenden, der 16 Jahren seine Knochen für einen schlecht bezahlten Kanzler-Job hingehalten hat, ist schlicht unterste Schublade.

      2. Der Begriff des Regimes ist imho auch unpassend und hilft nicht weiter.

      Wenn es um Bundestrojaner und Staatstrojaner sowie weitere dieser Maßnahmen wie Generalschlüssel und Hintertüren zum Aufbrechen von Verschlüsselungen geht, bin ich bei den meisten Diskutanten. Das bekommt man aber nicht in den Griff, indem man Leute mit Mutti verunglimpft und dann über ein Regime herzieht – sondern indem man seinen Politikern, die einen im Land- und Bundestag vertreten, da heftig auf den Füßen steht.

      Bedeutet aber arge Arbeit (ich kenne das, weil ich durchaus die eine oder andere Aktion mit veranstaltet habe und weiß, wie schwierig es ist, Herrn Schlappekicker – nebst Gattin – vom Sofa hochzukriegen, damit der/die wenigstens mal eine Postkarte an seinen Abgeordneten schreibt/schreiben).

      Die 2 Cents mussten nun mal sein.

      • Anonymous sagt:

        Günter Born

        Gerade der Teil mit mal den Hintern vom Sofa hochbekommen ist echt auch nicht unangebracht. Denn das ist meiner Meinung nach einfach der Deutschen Problem: Maulen aber nichts unternehmen!

        Ja das ist Arbeit aber wenn immer nur alle Ja und Amen sagen wird es halt auch nicht besser. Teilweise schreibe ich auch Herstellern von 1 Euro Artikeln Mal eine Mail wenn ich finde das das Produkt so einfach Mist ist. Die Antworten waren teilweise überraschend, also im positiven Sinn. Dabei sollte man natürlich auch ein gewisses Niveau halten sonst gibt es verständlicherweise auch keine Antwort :)

      • Der Name sagt:

        da war garnichts grammatikalisch falsch. also so unterbelichtet bin ich nun auch wieder nicht dass ich absichtlich unwissend unschuld anstelle von schuld posten wuerde.

        zweitens, mutti, habe ich zwar vielleicht schaerfer gemeint als bloss als reiner kosebegriff fuer mutter, aber an Dir sind evtl die letzten jahre der republik vorbeigegangen dass Du so auf mutti abfaehrst und volle verteidigungspositionen fuer das deutsche ueberwachungsregime faehrst.

        zumal in der presse und in der oeffentlichkeit mutti laengst nicht mehr nur anfeindend oder despektierlich sondern schon genau andersherum ebenso wirkt und wahrgenommen wird

        > https://sz-magazin.sueddeutsche.de/frauen/die-mutti-aller-schlachten-83392

        uvam. und der artikel ist schon von 2017. also immer mal chillen und nicht gleich in den verteidigungsmodus gehen bloss weil ein post regime deutsche regierung und mutti in einem satz erwaehnt.

        vielen dank auch fuer die meinungsfreiheit.
        meinungsfreiheit bedeutet: du kannst jede meinung haben. bloss aeussern darfst Du sie nicht ;p

        nichts fuer ungut. alles wieder ungut? grammar!!!1!elfzwodreivier.

        • Martin Feuerstein sagt:

          Schon dein erster Kommentar war (mMn) unnütz/daneben.

          Meinungsfreiheit heißt nicht, dass dein Kommentar auf jedem Medium veröffentlicht werden muss (wie etwa diesem privaten Blog).

          Meinungsfreiheit heißt auch nicht, dass dir nicht widersprochen werden darf. Insbesondere auch vom Betreiber dieses Blogs.

      • Ärgere das Böse! sagt:

        Die Mutter aller hohlen Nüsse, Mutti, stellt Dir den Server nicht ab, wenn Du sie nicht verteidigst.
        So weit ist es erst in 2 Jahren.

  2. nook sagt:

    GB: "…Der Trojaner ist binnen Sekunden unbemerkt auf den Geräten installierbar…"

    Amnesty: "…kein Werkzeug für eine Massenüberwachung, sondern wird über bekannte Schwachstellen auf den Geräten ausgewählter Opfer gezielt platziert…"

    Ich konnte noch nirgends etwas finden wie das passiert.
    Wie kommt der Trojaner auf das Handy?

    Quellen TKÜ, Bundestrojaner … ist doch alles legal ;-)

    • mvo sagt:

      Die beiden Aussagen widersprechen sich nicht. NDR Info hat heute davon berichtet, dass bis 2018 vom Anwender ein Link angeklickt werden musste, seitdem ist eine "stille Infektion" zumindest auf iOS möglich ist. Ob diese auch bei Android möglich ist, ist nicht bekannt.

    • Erik sagt:

      Spezifische OS-Updates, Minus-One-Day-Lücken in Browser/E-Mail/sonstige Apps, im Vorbeigehen via Bluetooth/WLAN/NFC Lücken, sowas in der Art…

    • Mira Bellenbaum sagt:

      Datenstrom umleiten und den Trojaner unter die abgerufenen Daten mischen.
      Die Installation läuft von ganz alleine!

    • Günter Born sagt:

      Wer die vielen Berichte durchgeht, stößt auf Geschichten, wie Link im Browser anklicken, dann wird eine Schwachstelle ausgenutzt, bis hin zu einer iMessage-Schwachstelle, so dass eine Nachricht an die Ziel-Telefonnummer zur Infektion reicht. Auch Man-in-the-middle-Agnriffe sind mir untergekommen. Daneben gibt es WhatsApp, SMS, E-Mail usw. Es ist meist ein Sammelsurium an Schwachstellen, welches ausgenutzt wird.

  3. Mira Bellenbaum sagt:

    @Anonymius
    Hackt diese Firma, hackt deren Software, macht Euch bitte mal nützlich,
    und tut was für die Allgemeinheit!

  4. Knusper sagt:

    Nun, es gibt Mitmenschen, denen man tatsächlich auf die Finger schauen sollte. Früher waren es Richtmikrofone, heute eben Handys.
    Natürlich widert mich dieser Missbrauch an. Doch was gemacht werden kann, wird auch gemacht. Ich wüsste nicht, wie man das verhindern kann.

  5. Gerold sagt:

    Das BKA ist mit dabei:

    BKA soll Seehofer nicht informiert haben

    Das BKA hat eine umstrittenen Spionagesoftware aus Israel eingekauft – und setzt sie bereits ein, um Smartphones zu überwachen. Bundesinnenminister Seehofer soll nach Informationen von NDR, WDR und SZ angeblich nicht informiert gewesen sein.

    https://www.tagesschau.de/investigativ/ndr-wdr/spionagesoftware-nso-bka-103.html

  6. Gerold sagt:

    Updates für alle Geräte: Apple stoppt neuesten Pegasus-Staatstrojaner

    Apple hat kurz vor seinem großen Herbst-Event noch einmal Updates für iOS und seine Ableger sowie das Desktop-System MacOs veröffentlicht. Diese sollten möglichst zügig installiert werden, da sie einer der perfidesten Malwares entgegenwirken.

    Neue Features bekommt man mit den Aktualisierungen nicht, was die Zugkraft etwas mindern dürfte. Trotzdem sind die Updates auf iOS 14.8, iPadOS 14.8, WatchOS 7.6.2 und MacOS Big Sur 11.6 von großer Bedeutung. Denn laut Apple sind die Security-Patches, die hiermit ausgerollt werden, gegen Schwachstellen gerichtet, die bereits aktiv von Malware ausgenutzt werden.

    https://winfuture.de/news,125162.html

    • Günter Born sagt:

      Ein bloggender Kollege aus dem Sicherheitsumfeld hat das Ganze mal ein wenig eingeordnet. Ich poste seine drei Tweets – mehr Kommentar braucht es nicht – außer vielleicht, dass die NSO-Group längst an anderen Exploits sitzt.

      iOS-Update

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.