Gericht nennt Details zu Angriffen auf 1223 WhatsApp-User mit Pegasus-Spyware

Ein Gerichtsdokument verrät Standorte der Opfer, für die Angriffe genutzte Server und die Herkunft der Angriffe mit der Pegasus-Spyware auf eine WhatsApp-Lücke.

2

(Bild: Shutterstock / Motortion Films)

11.04.2025, 04:31 Uhr

Lesezeit: 4 Min.

Von

Frank Schräer

Im Klageverfahren von Facebook-Mutter Meta Platforms gegen die israelische Spyware-Firma NSO Group sind Details zu Überwachungsangriffen auf WhatsApp-Nutzer bekannt geworden. Demnach wurden in nur zwei Monaten 1223 Anwender in 51 verschiedenen Ländern angegriffen. Das kürzlich freigegebene Gerichtsdokument nennt sogar die einzelnen Länder, in denen sich die Opfer aufgehalten haben, sowie die Standorte der Angreifer und der für die Angriffe genutzten Server.

Bereits 2019 hatte Facebook die israelischen WhatsApp-Hacker verklagt und dabei von 1400 betroffenen Nutzern gesprochen. Darunter waren Journalisten, Anwälte, Menschenrechtler und andere Regierungskritiker. Zudem sollten auch Regierungsmitarbeiter und Militärs aus mindestens 20 Ländern mit Pegasus gehackt worden sein. Jetzt zeigt das Gerichtsdokument, in welchen Ländern sich die Opfer dieser im April und Mai 2019 durchgeführten Hacking-Kampagne aufgehalten haben und von wo diese Angriffe hergekommen sind.

Mexiko mit den meisten Spyware-Opfern

Demnach wurden die meisten Opfer in Mexiko verortet, nämlich 456 Individuen. Weiterhin gab es zahlreiche Opfer in Indien (100), Bahrein (82), Marokko (69), Pakistan (58), Indonesien (54) und Israel (51). Auch etliche Personen in Zypern (31) und der Türkei (26) waren betroffen. In Westeuropa gab es zwar weniger Fälle, aber immerhin 21 in Spanien, 11 in den Niederlanden, 7 in Frankreich, 4 in Belgien, 4 in Finnland, 3 in der Schweiz und jeweils 2 in Deutschland sowie in Großbritannien.

Lesen Sie auch

Pegasus-Spyware: Mexikanischer Spitzenbeamter ausspioniert

Trotz Verbot: FBI hat über Vertragsfirma NSO-Spyware finanziert

Eine Grundschülerin mit einer Brille sitzt mit anderen Kindern in einem Klassenzimmer und liest etwas auf einem Laptop; Freitag: Wortwahl-Urteil, Spyware-Details, Plastik-Alternative, iPhone-Importe, Apple-Maps & Verbraucherschutz-Podcast

Freitag: "Digital Native" als Altersangabe, Details zu NSO-Spyware bei WhatsApp

"Passwort" Folge 25: Staatlich sanktionierte Schnüffelsoftware

WhatsApp-Spyware attackiert Journalisten und weitere Personen

"Im Laufe der Jahre wurden zahlreiche Nachrichtenartikel verfasst, die den Einsatz von Pegasus zur gezielten Bekämpfung von Opfern auf der ganzen Welt dokumentierten", erklärt Sicherheitsexpertin Runa Sandvik gegenüber Techcrunch. "Was in diesen Artikeln oft fehlt, ist das wahre Ausmaß der Angriffe – die Zahl der Opfer, die nicht benachrichtigt wurden, deren Geräte nicht überprüft wurden und die sich entschieden, ihre Geschichte nicht öffentlich zu teilen. Die Liste, die wir hier sehen – mit 456 Fällen allein in Mexiko, einem Land mit dokumentierten, bekannten Opfern aus der Zivilgesellschaft – spricht Bände über das wahre Ausmaß des Spyware-Problems."

Herkunft der Angriffe und Server-Standorte

Interessant ist auch die Liste der möglichen Herkünfte der Angriffe, die WhatsApp dem Gericht ebenfalls vorgelegt hat und die nun auch veröffentlicht wurde. Demnach kamen 60 Angriffe aus Schweden, 56 aus Zypern, 39 aus den Niederlanden und 9 aus Indonesien. Diese Liste ist nicht vollständig, aber zeigt, dass sich Angreifer und Opfer nicht immer im selben Land befinden. Denn es gab offenbar keine Opfer in Schweden, aber viele Angriffe von dort. Und die Zahl der Angriffe aus den Niederlanden übersteigt die Zahl der dortigen Opfer deutlich.

Die für die Angriffe genutzte Command-and-Control-Infrastruktur ist ebenfalls international weit verteilt. Diese sogenannten C2-Server täuschen normalen Datenverkehr vor, um möglichst lange unerkannt zu bleiben, nutzen aber Hintertüren etwa zur Überwachung. WhatsApp hat zahlreiche dieser C2-Server in Ungarn und Großbritannien gefunden, aber auch einige in den Niederlanden und in Schweden. Ein C2-Server wurde auch in Deutschland lokalisiert.

NSO: Halbwahrheiten und aus dem Kontext gerissen

Ein WhatsApp-Sprecher wollte sich auf Anfrage von Techcrunch nicht zu diesem Gerichtsdokument äußern, aber die NSO Group erklärte laut dem israelischen Magazin CTech: "Die uns zur Prüfung vorgelegte Liste ist eine Interpretation von Informationen, die aus dem Kontext gerissen wurden, sowie Halbwahrheiten und einseitige Behauptungen von Meta – Behauptungen, die bereits widerlegt wurden und auch weiterhin im Rechtsstreit widerlegt werden. Beispielsweise lässt die Tatsache, dass das Telefon eines Verdächtigen in einem bestimmten Gebiet identifiziert wird, keinen Rückschluss auf die Identität des Kunden zu."

Ende 2024 hatte WhatsApp den Rechtsstreit gegen die NSO Group gewonnen. Ein US-Bezirksgericht hat den Spyware-Hersteller wegen Computerbetrug und -missbrauch verurteilt. Es sollte dieses Jahr nur noch über die Frage des Schadensersatzes verhandelt werden. Das Verfahren (Az. 19-cv-07123), aus dem auch das genannte Gerichtsdokument stammt, ist bislang aber nicht abgeschlossen. Die NSO Group geht weiter dagegen vor.

(fds)