Die berüchtigte Pegasus-Spyware ist diese Woche wieder in den Nachrichten, da ein Team von Sicherheitsforschern eine neue „dreifache Bedrohung“ von Exploits hervorhebt, die von der Malware verwendet werden, um gezielte Cyberangriffe im Jahr 2022 durchzuführen.
Pegasus ist eine „industrielles“ Spyware-Tool, das von der israelischen Technologiefirma NSO Group entwickelt wurde, angeblich nur für den Einsatz bei der Terrorismusbekämpfung durch Regierungen. Während es Pegasus seit 2014 gibt, machte es vor zwei Jahren Schlagzeilen, als eine forensische Analyse von Amnesty International und das Citizen Lab der University of Toronto enthüllten die Spyware war für „weit verbreitete, anhaltende und andauernde rechtswidrige Überwachung und Menschenrechtsverletzungen“ verantwortlich und wurde dazu verwendet, Dutzende von „Menschenrechtsverteidigern (HRDs) und Journalisten auf der ganzen Welt“ anzugreifen und auszuspionieren.
In einem seltenen Schritt leitete Apple anschließend eine massive Klage gegen die NSO Group ein und beschrieb das Unternehmen und seine Mitarbeiter als „amoralische Söldner des 21 offenkundiger Missbrauch.“ Es richtete auch einen Fonds für Organisationen wie Citizen Lab und Amnesty Tech ein, um sie bei ihrer Forschung und Interessenvertretung im Bereich der Cyberüberwachung zu unterstützen, stattete ihn mit anfänglich 10 Millionen US-Dollar aus und versprach, den Topf um Schäden zu erweitern, die sich aus der Klage gegen die NSO Group ergeben.
Während Apple hofft, die Existenz der NSO Group zu verklagen, bewegen sich die Gerichte leider nur langsam, und in der Zwischenzeit wird Pegasus weiterhin für schändliche Zwecke missbraucht. Die Dinge wurden ruhiger, nachdem Mitte 2021 berichtet wurde, dass die Pegasus-Spyware Beamte des US-Außenministeriums ins Visier genommen hatte. Ein neuer Bericht von ?Citizen Lab? zeigt, dass Pegasus immer noch aktiv war, aber seit etwa einem Jahr unter dem Radar geflogen ist.
Eine Null-Klick-Dreifachbedrohung
Konkret haben Forscher des Citizen Lab drei neue „Null-Klick-Exploit-Ketten“ entdeckt, die von Pegasus im Laufe des Jahres 2022 verwendet werden, um Cyberangriffe gegen die Menschenrechte zu verstärken Verteidiger, Journalisten und andere „Ziele der Zivilgesellschaft“ weltweit.
Pegasus wird weit davon entfernt, für seinen erklärten Zweck der Terrorismusbekämpfung und Bekämpfung von Menschenhandel und anderer organisierter Kriminalität eingesetzt zu werden, sondern scheint stattdessen zu einem Werkzeug unterdrückerischer Regime geworden zu sein. Die jüngsten Pegasus-Ziele, die von Citizen Labs identifiziert wurden, betreffen zwei Menschenrechtsverteidiger von Centro PRODH, einer Organisation in Mexiko, die Opfer von militärischem Missbrauch wie außergerichtlichen Tötungen und gewaltsamem Verschwinden vertritt.
Pegasus-Infektionen unter Mitgliedern von Centro PRODH reichen bis mindestens 2015 zurück, wie Citizen Lab erklärt in seinem Bericht:
“Ein weit verbreiteter Fall von Verschwindenlassen, der für diesen Fall einer Spyware-Infektion relevant ist, ereignete sich im September 2015, als eine Gruppe von 43 Schülern bei einem Lehrer war Training College verschwanden, nachdem sie nach Iguala gereist waren, um gegen die Einstellungspraktiken von Lehrern zu protestieren. Ihr anschließendes Verschwinden wird als „Iguala-Massenentführung“ oder einfach als „Ayotzinapa-Fall“ bezeichnet. Im Jahr 2017 berichteten wir, dass drei Mitglieder der mexikanischen Rechtshilfe-und Menschenrechtsorganisation Centro PRODH zusammen mit Ermittlern, die am Fall Ayotzinapa beteiligt waren, Ziel von Pegasus-Spyware waren. Zum Zeitpunkt der Angriffe im Jahr 2016 vertrat Centro PRODH die Familien der verschwundenen Studenten.“
Während das Katz-und-Maus-Spiel zwischen Apple und Pegasus jedoch weitergeht, musste die NSO Group dies tun Seien Sie kreativer bei der Suche nach neuen Exploits, einschließlich sogenannter „Zero-Click“-Schwachstellen, bei denen Pegasus sich selbst installieren und mit dem Ausspionieren eines iPhones beginnen kann, ohne dass eine Interaktion des Benutzers erforderlich ist.
Citizen Lab hat drei davon gefunden gefährliche Exploits auf zwei iPhones mit iOS 15 und iOS 16, die von Centro PRODH-Mitarbeitern verwendet werden. Einer gehörte Jorge Santiago Aguirre Espinosa, dem Direktor von Centro PRODH, der auch als Pegasus-Ziel identifiziert worden war im Jahr 2017. Die andere gehörte María Luisa Aguilar Rodríguez, Internationale Koordinatorin bei Centro PRODH. Berichten zufolge war Pegasus am 22. Juni 2022 auf Herrn Aguirres Gerät aktiv, dem gleichen Tag, an dem Mexikos Wahrheitskommission eine Zeremonie abhielt, um ihre Untersuchung von Menschenrechtsverletzungen durch die mexikanische Armee einzuleiten. Das Telefon von Frau Rodríguez wurde am nächsten Tag und dann im September 2022 bei zwei weiteren Gelegenheiten infiziert.
Die drei Exploits mit den Namen LATENTIMAGE, FINDMYPWN und PWNYOURHOME nutzen alle Sicherheitslücken in iOS 15 und iOS 16, insbesondere Fehler im Code, der den Funktionen „Find My“, „Nachrichten“ und „Home“ von Apple zugrunde liegt. Die meisten Angriffe wurden auf Geräten mit iOS 15 gefunden, da dies zu diesem Zeitpunkt aktuell war, obwohl PWNYOURHOME gegen iOS 16.0.3 bereitgestellt werden konnte.
Zum Glück hat Citizen Lab keine Fälle dieser Art auf Geräten mit iOS 16.1 oder neuer gesehen. Dies deutet darauf hin, dass Apple diese Fehler behoben hat, und im Fall von PWNYOURHOME teilten Forscher „forensische Artefakte“, die Apple dabei halfen, die Dinge mit HomeKit in iOS 16.3.1 abzusichern.
Leider ist es wahrscheinlich nur eine Frage der Zeit, bis die NSO Group neue ausfindig macht, die ausgenutzt werden können. Aus diesem Grund ist es immer eine gute Idee, Ihr iPhone auf die neueste iOS-Version zu aktualisieren – insbesondere, wenn Apples Versionshinweise auf Patches für Schwachstellen hinweisen, die „aktiv ausgenutzt“ wurden.
Using the Lockdown Mode von iOS 16
Citizen Lab-Forscher stellten außerdem fest, dass PWNYOURHOME Warnungen auf Geräten auslöste, auf denen Apples neuer hochsicherer Lockdown-Modus aktiviert war. Zunächst löste der Exploit Benachrichtigungen eines unbekannten Benutzers aus, der versuchte, auf ein Zuhause zuzugreifen, was zeigte, dass der Sperrmodus wie vorgesehen funktioniert.
Obwohl spätere Versionen des Exploits einen Weg gefunden zu haben scheinen, die Benachrichtigungen zu blockieren, fanden Forscher keine Beweise dafür, dass der Lockdown-Modus tatsächlich umgangen werden könnte – lediglich die Benachrichtigungen stummschalten, die einen Benutzer auf die unbefugten Zugriffsversuche aufmerksam machten.
Trotz der heimtückischen Natur von Pegasus ist die gute Nachricht für die meisten von uns, dass es sich um einen gezielten Angriff handelt. Darüber hinaus werden die von der NSO Group entwickelten Tools nur an Regierungen verkauft, weshalb sie als „staatlich geförderte Spyware“ bezeichnet werden. Natürlich sind nicht alle Regierungsbehörden in Bezug auf die Überwachung ethisch vertretbar. Es ist jedoch immer noch sicher zu sagen, dass Sie Pegasus wahrscheinlich nicht begegnen werden, es sei denn, Sie sind an der Art von Arbeit beteiligt, die die Aufmerksamkeit eines korrupten Regimes auf sich ziehen könnte.
Für diejenigen, die „Hochrisiko“-Benutzer sind, kommt hier Apples Sperrmodus ins Spiel in. Während es für die meisten normalen Leute zu viele Kompromisse bei der Benutzerfreundlichkeit mit sich bringt, empfiehlt Citizen Lab es allen, die glauben, dass sie Gefahr laufen, von Pegasus oder anderer staatlich geförderter Spyware angegriffen zu werden.
