Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

33C3: Mit Zero-Days gegen Dissidenten

Autoritäre Staaten lassen sich das Bespitzeln von Oppositionellen und Kritikern viel Geld kosten. Über die Hackversuche finden Aktivisten sogar Zero-Day-Exploits.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
33C3: Mit Zero-Days gegen Dissidenten
Lesezeit: 5 Min.
Von
  • Torsten Kleinz
  • Dr. Hans-Peter Schüler
Inhaltsverzeichnis

Während immer mehr Staaten eigene Hacker-Einheiten aufbauen, setzen viele autoritäre Regime auf Hacker aus der Privatwirtschaft wie Hacking Team und Finfisher. Bill Marczak und John Scott-Railton vom Citizen Lab der Universität Toronto zeigten beim Chaos Communication Congress in Hamburg, wie sie die Spur der Angreifer verfolgen und so auf die Spur von unbekannten Sicherheitslücken kommen.

John Scott-Railton erläutert den Bespitzelungs-Trend von den "old days" bis (t)"oday".
Aktivisten sind oft leichte Ziele

"Nichtregierungsorganisationen sind das ideale Ziel von Angriffen", erklärte Scott-Railton. Zum einen sind Regierungen oft sehr interessiert daran, wenn sich Kritiker organisieren, zum anderen haben die Aktivisten oft keine Zeit oder Ressourcen, ihre IT-Geräte systematisch abzusichern. Das Citizen Lab hat langfristige Beziehungen mit solchen Akteuren aufgebaut und versucht so einen Überblick über aktuelle Angriffe zu bekommen.

NGOs sind besonders anfällige Ziele für Bespitzelungen, weil ihnen systematische IT-Schutzinstanzen fehlen.

Eine besonders erfolgreiche Recherche begann mit dem Menschenrechts-Aktivisten und Journalisten Rori Donaghy, der eine verdächtige E-Mail an das Citizen Lab weiterleitete. In der Nachricht wurde Donaghy aufgefordert, einen Link eines URL-Verkürzers anzuklicken. Der Clou: Hätte der Aktivist den Link aufgerufen, hätte die Site versucht ihn mit einer ganzen Reihe von JavaScript-Exploits zu überfluten, die nicht nur sämtliche Passwörter von seinem Rechner zu den Angreifern hochladen, sondern auch einen eventuell installierten Tor-Browser kompromittieren sollten.

Zweiter-Versuch: Attacke mit Makros

Auf Anraten des Citizen Lab antwortete Donaghy auf die E-Mail mit der Nachricht, dass er den Link nicht öffnen könne. Darauf versuchten es die Angreifer ein zweites Mal. Dieses Mal schickten sie ihm ein Word-Dokument, für das er die Makro-Funktion aktivieren sollte. Auch hierin versteckte sich ein ausgiebiges Schadprogramm, das zudem ständig neue Anweisungen von einem externen Server abrufen sollte.

Eine Analyse der verwendeten Domains verschaffte den Forensik-Experten einen Einblick in eine ganze Spitzel-Infrastruktur. Über die Analyse der Whois- und DNS-Informationen fanden sie 149 offenbar zusammengehörige Domains, die sich beispielsweise als News-Webseiten oder als Angebote von Hilfsorganisationen tarnen.

Eine Falle für iPhones

Als ein zweiter Aktivist einen Link zu einer solchen Domain per SMS zugeschickt bekam, stießen die Ermittler auf die gleiche Infrastruktur. Da der Angriff eindeutig auf das Mobiltelefon des anvisierten Aktivisten angelegt war, öffneten die Forscher des Citizen Lab den Link auf einem iPhone und schnitten den Verkehr mit. Was passierte, überraschte auch sie: So schloss sich der iPhone-Browser kurze Zeit nachdem der infizierte Link aufgerufen worden war. Im Hintergrund installierte sich eine iPhone-App -- die Spyware Pegasus.

Die Forscher hatten also eine bis dahin unbekannte Möglichkeit entdeckt, ein iPhone aus der Ferne zu übernehmen. Weitere Analysen ergaben, dass dazu gleich drei Bugs in iOS kombiniert worden waren. Auf dem freien Markt wurden für einen solchen Remote Jailbreak, der die Sicherheitsmechanismen von iOS ohne direkten Zugriff auf das Gerät komplett umgehen konnte, in diesem Jahr über eine Million Dollar geboten. Als mutmaßlichen Verursacher der Angriffe identifizierten die Forscher die israelische Spyware-Firma NSO Group, die laut eigener Darstellung im Auftrag vieler Regierungen arbeitet.

Viele Ziele

In Zusammenarbeit mit der Sicherheitsfirma Lookout gaben Marczak und Scott-Railton die Details über die Pegasus an den iPhone-Hersteller Apple weiter, der daraufhin ein Update veröffentlichte. Die Analysen des Citizen Lab zeigte aber auch, dass die Schadsoftware vorher bereits seit einiger Zeit in vielen Ländern angewandt worden war. Ziele waren Journalisten, die über Korruption berichteten, Menschenrechtsaktivisten und Oppositionspolitiker. Wie der NSA-Whistleblower Edward Snowden kritisierten die Wissenschaftler, dass der Kampf gegen Terrorismus und organisierte Kriminalität oft nur vorgeschoben werde, um die Maßnahmen von Staaten gegen alle vermeintlichen Gegner zu rechtfertigen. Dabei müssten die Regierungen keinerlei Rechenschaft für solche Aktionen ablegen.

Der Einsatz eines unbekannten Zero-Day-Exploits sei eine ungewöhnliche Maßnahme, er wurde offenbar nur bei besonders wichtig erachteten Zielen eingesetzt: "Dies ist ein Preisschild für den Wert der freien Rede dieser Personen", sagte Scott-Railton. Bei anderen vom Citizen Lab analysierten
Kampagnen setzten die Angreifer oft bereits bekannte Sicherheitslücken ein, die allerdings oft mit mehr Geschick getarnt wurden.

Um die ausufernde Bespitzelung von Regierungsgegnern zu unterbinden, plädierten Marczak und Scott-Railton dafür, die Kosten für solche Angriffe zu erhöhen. Dafür seien mehr Fachleute nötig, die sich systematisch um die Erkennung solcher Schadsoftware kümmerten und Nicht-Regierungsorganisationen beraten. (hps)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten