Pegasus: iPhone russischer Journalistin in Deutschland mit Spyware infiziert
Das iPhone der Inhaberin des russischen Exil-Nachrichtenmagazins Meduza wurde mit Pegasus infiziert – in Deutschland. Wer dahintersteckt, ist unklar.
(Bild: T. Schneider/Shutterstock.com)
Das iPhone von Galina Timtschenko, Inhaberin der russischsprachigen Internetzeitung Meduza – die als Exilmedium aus Lettland betrieben wird –, wurde in diesem Jahr mit Pegasus der NSO Group infiziert. Experten hätten das bestätigt. Apple habe die Journalistin zuvor gewarnt, dass möglicherweise Spyware auf ihrem Telefon installiert worden sei. Forschern zufolge wurde die Spionagesoftware während eines Aufenthalts in Deutschland auf ihrem Smartphone installiert – unklar sei, wer dahintersteckt.
iPhone wurde in Deutschland mit Pegasus infiziert
Die gemeinnützige Organisation Access Now, die sich für digitale Rechte einsetzt, und das Citizen Lab der University of Toronto haben bei der Analyse von Timtschenkos Smartphones den Zeitpunkt der Infizierung mit der Pegasus-Spyware "am oder um den 10. Februar" ausgemacht. Das Gerät sei auf die Zeitzone GMT+1 eingestellt gewesen und hätte sich in Berlin befunden. Einen Tag später sollte demnach ein privates Treffen mit anderen Führungskräften unabhängiger russischer Medien im europäischen Exil in Deutschland stattfinden, um den Umgang mit den Bedrohungen und der Zensur durch Putins Regime zu erörtern, berichtet Citizen Lab.
Die Forscher gehen davon aus, dass die Infektion über einen Zero-Click-Exploit erfolgte, und "forensische Spuren lassen uns mit mäßiger Sicherheit annehmen, dass sie über den PWNYOURHOME-Exploit erfolgte, der auf Apples HomeKit und iMessage abzielt". Apple habe Timtschenko laut Access Now am 22. Juni 2023 darüber informiert, dass staatlich unterstütze Angreifer es möglicherweise auf ihr iPhone abgesehen hätten. Am darauffolgenden Tag habe sich der CTO von Meduza an Access Now gewandt, um das Telefon auf Spuren von Spyware zu überprüfen. Access Now habe das Gerät eigenen Angaben zufolge mit der Unterstützung von Citizen Lab untersucht.
Theorien über mögliche Verdächtige
Pegasus sei den Forschern zufolge so konzipiert, dass eine Zuordnung, wer hinter dem Angriff steckt, nahezu unmöglich ist. Auf der Grundlage, dass die NSO Group ihre Spyware lediglich an staatliche Stellen verkaufe und der verfügbaren technischen Beweise und Indizien, gebe es mehrere Theorien, wer hinter dem "ersten dokumentierten Fall einer Pegasus-Infektion bei einem russischen Journalisten" steckt.
Lesen Sie auch
iPhones selbst auf Pegasus und andere Spyware prüfen
Zu den verdächtigen Staaten zählen demnach etwa Meduzas Gaststaat Lettland, der offenbar Pegasus-Kunde sei, genau wie Deutschland, wo Timtschenko sich zum Zeitpunkt der Manipulation ihres Telefons aufhielt sowie der niederländische Inlands- und Auslandsgeheimdienst (AIVD) und eine ungenannte estnische Regierungsbehörde. Hinzu kämen Staaten mit Verbindungen zu Russland, die im Verdacht stehen, Pegasus zu nutzen – Aserbaidschan, Kasachstan oder Usbekistan – und schließlich Russland selbst.
Technische Zuordnung nicht möglich
Lettland etwa nutze Citizen Lab zufolge Pegasus ausgiebig außerhalb seiner Grenzen und innerhalb mehrerer europäischer Länder. Lettland hat etwa Doschd (internationale Bezeichnung TV Rain) im Dezember 2022 aufgrund der "Bedrohung der nationalen Sicherheit und der öffentlichen Ordnung" die Sendelizenz entzogen, führt Access Now als mögliche Theorie an. Der TV-Sender, der kritisch über den russischen Überfall auf die Ukraine berichtete, floh nach dem Verbot in Russland nach Lettland und setzte von dort seine Übertragungen fort. Die NSO Group erlaube Estland zwar nicht, "russische Telefonnummern ins Visier zu nehmen, aber Timtschenkos Telefonnummer hat eine lettische Landesvorwahl".
Bei dem gemeldeten deutschen Kunden handle es sich um eine Polizeibehörde und nicht um einen Geheimdienst. Doschd hat im Januar dieses Jahres von den Niederländern eine Sendelizenz zur Fortführung seiner Berichterstattung erhalten.
Für Russland selbst etwa gebe es laut Citizen Lab keine Beweise, dass die russische Regierung das Pegasus-System betreibt. Es gebe auch keine Hinweise darauf, dass Aserbaidschan oder Kasachstan Menschen in Deutschland, Lettland oder anderen EU-Staaten ausspionieren und Usbekistan soll im fraglichen Zeitraum kein Kunde von Pegasus gewesen sein. "Obwohl es mehrere mögliche Hypothesen gibt, welcher Regierungskunde der NSO Group für diesen Hack verantwortlich sein könnte, sind wir zum jetzigen Zeitpunkt nicht in der Lage, eine abschließende technische Entscheidung über die Zuordnung zu treffen" erklärt Citizen Lab.
"Unerwünschte Organisation"
Timchenko sei es gewohnt gewesen, auf den Straßen Russlands von "Propagandisten" belästigt zu werden, bevor sie Meduza 2014 in Riga, der Hauptstadt Lettlands, gründete. Sie hätte aber nie erwartet, ein Ziel für Spionageprogramme zu sein, berichtet die Washington Post. Timtchenko sei am meisten besorgt, dass derjenige, der die Spionagesoftware auf ihrem Telefon platziert hatte, Zugriff auf Ihre Kontakte erhalten habe.
Bereits im Januar sei Meduza, das monatlich mehr als 10 Millionen Leser – vorwiegend aus Russland – habe, von Putin als "unerwünschte Organisation" eingestuft worden. Die russische Journalistin Timtschenko ist Besitzerin (sie hält 65 Prozent) der Nachrichtenwebsite Medzua, die in Riga 2014 als Exilmedium gegründet wurde und in russischer und englischer Sprache berichtet. Zuvor war Timtschenko Chefredakteurin der russischen Onlinezeitung Lenta.ru und wurde 2014 Berichten zufolge entlassen, nachdem die Aufsichtsbehörden ihr im Rahmen eines Interviews im Zusammenhang mit den Euromaidan-Protesten die Verbreitung extremistischen Materials vorgeworfen hatten.
(bme)