Staatstrojaner: Infrastruktur der Spyware Predator erneut abgeschaltet
Die Betreiber der Plattform hinter Predator haben offenbar Server vom Netz genommen, die sie zum Ausliefern und Steuern der Überwachungssoftware verwendeten.
(Bild: Gorodenkoff/Shutterstock.com)
Die Betreiber der Spyware-Plattform Predator haben mehrere zugehörige Server und andere Komponenten offline genommen, nachdem Sicherheitsexperten Analysen der Infrastruktur veröffentlicht hatten. Dies berichtet das Online-Magazin Cyberscoop. Forscher der Insikt Group und Sekoia beschrieben Anfang März, wie die hinter Predator steckende Intellexa Alliance ihre technische Infrastruktur nach einer früheren Enthüllung wieder aufgebaut hat.
Zweiter Ausfall in einem halben Jahr
Damit ist die Infrastruktur von Predator zum zweiten Mal innerhalb eines halben Jahres weitgehend vom Netz genommen worden. Im Oktober veröffentlichten mehrere europäische Medien zusammen mit Amnesty International die "Predator Files". Produkte der Intellexa Alliance wurden demnach in mindestens 25 Ländern in Europa, Asien, dem Nahen Osten und Afrika gefunden. Aufgrund der internationalen Aufmerksamkeit, die die Berichte erzeugten, ging die Zahl der aktiven Predator-Server von über 150 Anfang Oktober auf rund 50 zurück.
Parallel begann die Intellexa Alliance aber mit dem Wiederaufbau neuer Infrastruktur zur Steuerung der Spyware. In der ersten Dezemberwoche waren den Forschern zufolge etwa 50 neue Server betriebsbereit. Bis Mitte Januar zählte die Insikt Group 81 solcher Instanzen. Lange verrichteten diese ihre Dienste aber nicht.
Angesichts der neuen Abklemmfunktion spricht viel dafür, dass sich ein Katz-und-Maus-Spiel zwischen Forschern, die Aktivitäten der Spyware-Industrie öffentlich dokumentieren, und Herstellern entwickelt hat, die möglichst im Verborgenen ihre Überwachungsdienste ausführen wollen. Insikt Group veröffentlichte zuletzt auch Anzeichen für eine Kompromittierung sowie IP-Adressen und Domains verwendeter Server.
Neue Infrastruktur könnte stärker abgeschirmt werden
Die aktuelle "koordinierte oder gleichzeitige Art der Deaktivierung" deutet laut Insikt-Analyst Julian-Ferdinand Vögele darauf hin, dass entgegen der Behauptungen der Hersteller ein zentraler Akteur die Infrastruktur bereitstellt und verwaltet. Die Betreiber könnten von Kunden unter Druck gesetzt werden, schnell neue Server einzurichten, um Operationen aufrechtzuerhalten oder vertragliche Vereinbarungen zu erfüllen, erklärte der Forscher gegenüber Cyberscoop.
Intellexa dürfte sich diesmal genötigt fühlen, die Infrastruktur widerstandsfähiger, stärker abgeschirmt und mit deutlichen Unterschieden zu den bisherigen Ansätzen neu aufzubauen. Die US-Regierung verschärfte gerade die Sanktionen gegen die Gruppe, die sich nun auch gegen den Intellexa-Gründer Tal Dilian und seine rechte Hand, Sara Hamou, persönlich richten.
Laut den jüngsten Erkenntnissen von Insikt Group und Sekoia wurde die Predator-Infrastruktur in den ersten beiden Monaten des Jahres in mindestens elf Ländern genutzt, darunter Armenien, Ägypten, Indonesien, Kasachstan, Oman und Saudi-Arabien genutzt. Erstmals auf der Liste standen Botswana und die Philippinen.
Zu früheren Zielpersonen gehören laut den Predator-Akten die Präsidentin des EU-Parlaments, Roberta Metsola, die Präsidentin von Taiwan, Tsai Ing-Wen oder die deutsche US-Botschafterin Emily Haber. Ob deren Smartphones auch erfolgreich infiziert wurden, blieb zunächst offen.
(vbr)
