Laut Forschern hat Söldner-Spyware iPhone-Opfer mit betrügerischen Kalendereinladungen gehackt

Zwei Berichten zufolge nutzten Hacker mithilfe von Spyware eines wenig bekannten Cyber-Söldnerunternehmens schädliche Kalendereinladungen, um die iPhones von Journalisten, politischen Oppositionellen und einem NGO-Mitarbeiter zu hacken.

Forscher von Microsoft und der Gruppe für digitale Rechte Citizen Lab analysierten Proben von Malware, die ihrer Aussage nach von QuaDream erstellt wurde, einem israelischen Spyware-Hersteller, der Berichten zufolge Zero-Click-Exploits entwickelt – also Hacking-Tools, bei denen das Ziel nicht auf Schadsoftware klicken muss Links – für iPhones.

QuaDream konnte bis vor kurzem größtenteils unter dem Radar fliegen. Im Jahr 2021 berichtete die israelische Zeitung Haaretz, dass QuaDream seine Waren an Saudi-Arabien verkauft habe. Im nächsten Jahr berichtete Reuters, dass QuaDream einen Exploit zum Hacken von iPhones verkauft habe, der dem von der NSO Group bereitgestellten ähnelte, und dass das Unternehmen die Spyware nicht im Gegensatz zu seinen Regierungskunden betreibt – eine gängige Praxis in der Überwachungstechnologiebranche.

Die Kunden von QuaDream betrieben Server in mehreren Ländern auf der ganzen Welt: Bulgarien, Tschechische Republik, Ungarn, Rumänien, Ghana, Israel, Mexiko, Singapur, Vereinigte Arabische Emirate (VAE) und Usbekistan, laut Internet-Scans von Citizen Lab.

Sowohl Citizen Lab als auch Microsoft haben am Dienstag bahnbrechende neue technische Berichte über die angebliche Spyware von QuaDream veröffentlicht.

Microsoft sagte, es habe die ursprünglichen Malware-Beispiele gefunden und sie dann an die Forscher von Citizen Lab weitergegeben, die mehr als fünf Opfer identifizieren konnten – einen NGO-Mitarbeiter, Politiker und Journalisten –, deren iPhones gehackt wurden. Der zum Hacken dieser Ziele verwendete Exploit wurde für iOS 14 entwickelt und war zu diesem Zeitpunkt ungepatcht und Apple unbekannt, sodass es sich um einen sogenannten Zero-Day handelte. Laut Citizen Lab verwendeten die Hacker der Regierung, die mit dem Exploit von QuaDream ausgestattet waren, bösartige Kalendereinladungen mit Datum in der Vergangenheit, um die Malware zu verbreiten.

Diese Einladungen lösten keine Benachrichtigung auf dem Telefon aus, was sie für das Ziel unsichtbar machte, sagte Bill Marczak, ein leitender Forscher bei Citizen Lab, der an dem Bericht arbeitete, gegenüber TechCrunch.

Apple-Sprecher Scott Radcliffe sagte, es gebe keine Beweise dafür, dass der von Microsoft und Citizen Lab entdeckte Exploit nach März 2021 genutzt wurde, als das Unternehmen ein Update veröffentlichte.

Citizen Lab nennt die Opfer nicht namentlich, weil sie nicht identifiziert werden wollen. Marczak sagte, dass sie alle in unterschiedlichen Ländern seien, was es für die Opfer schwieriger mache, herauszukommen.

„Niemand möchte unbedingt der Erste in seiner Gemeinde sein, der sagt: ‚Ja, ich wurde ins Visier genommen‘“, sagte er und fügte hinzu, dass es normalerweise einfacher sei, wenn die Opfer alle im selben Land und Teil derselben Gemeinschaft seien oder Gruppe.

Bevor Microsoft Citizen Lab kontaktierte, sagte Marczak, er und seine Kollegen hätten mehrere Personen identifiziert, die von einem Exploit betroffen seien, der dem von Kunden der NSO Group im Jahr 2021 verwendeten ähnelte und als FORCEDENTRY bekannt sei. Damals kamen Marczak und Kollegen zu dem Schluss, dass diese Personen mit einem Tool angegriffen wurden, das von einem anderen Unternehmen und nicht von der NSO Group hergestellt wurde.

Bildnachweis:Das Bürgerlabor

Zu den analysierten Proben gehört die erste Nutzlast, die darauf ausgelegt ist, dann die eigentliche Malware – die zweite Probe – herunterzuladen, wenn sie sich auf dem Gerät des beabsichtigten Ziels befindet. Laut Citizen Lab und Microsoft zeichnet die endgültige Nutzlast unter anderem Telefonanrufe auf, nimmt heimlich Audio über das Mikrofon des Telefons auf, macht Fotos, stiehlt Dateien, verfolgt den detaillierten Standort der Person und löscht forensische Spuren ihrer eigenen Existenz.

Dennoch sagen die Forscher von Citizen Lab, dass die Malware bestimmte Spuren hinterlässt, die es ihnen ermöglichen, die Spyware von QuaDream aufzuspüren. Die Forscher sagten, dass sie diese Spuren nicht preisgeben wollen, um weiterhin in der Lage zu sein, die Malware aufzuspüren. Sie nannten die Spuren der Malware „Ektoplasma-Faktor“, ein Name, der laut Marczak von einer Quest im beliebten Spiel Stardew Valley inspiriert sei, das er seiner Aussage nach spielt.

Forscher von Citizen Lab behaupteten außerdem, dass QuaDream für den Verkauf seiner Produkte ein in Zypern ansässiges Unternehmen namens InReach nutzt.

Eine Person, die in der Spyware-Branche gearbeitet hat, bestätigte gegenüber TechCrunch, dass QuaDream InReach verwendet habe, „um die israelische [Export-]Regulierungsbehörde zu umgehen.“ Beispielsweise, sagte die Person, habe QuaDream auf diese Weise nach Saudi-Arabien verkauft.

Diese Problemumgehung ermöglichte es ihnen jedoch offenbar nicht, die Vorschriften vollständig zu umgehen.

„[QuaDream] hatte vier unterzeichnete Verträge mit Ländern in Afrika (Marokko und einigen anderen), aber aufgrund der Änderung der Vorschriften in Israel (beschränkt auf nur 36 Länder) konnten sie diese nicht liefern“, sagte die Person, die fragte Anonym zu bleiben, um vertrauliche Branchendetails zu besprechen.

Der Quelle zufolge verkaufte QuaDream neben Saudi-Arabien auch an Ghana, die Vereinigten Arabischen Emirate, Usbekistan und Singapur, seinen ersten Kunden. Außerdem fügte die Person hinzu: „Ihr System ist derzeit das wichtigste System in Mexiko“, es wird vom Präsidenten des Landes betrieben und nominell an die lokale Regierung von Mexiko-Stadt verkauft, „um es geheim zu halten.“

Das mexikanische Konsulat in New York City reagierte nicht auf eine Bitte um Stellungnahme.

Laut der Quelle hat QuaDream „kürzlich seine Android-Abteilung geschlossen und konzentriert sich jetzt nur noch auf iOS.“

Citizen Lab nannte mehrere Personen, die angeblich für QuaDream oder InReach arbeiten. Keiner von ihnen, bis auf einen, antwortete auf eine Bitte um einen Kommentar von TechCrunch. Die Person, die antwortete, sagte, dass sie keine Verbindung zu QuaDream habe und dass ihr Name in der Vergangenheit fälschlicherweise mit dem Unternehmen in Verbindung gebracht worden sei.

Die Entdeckung der Malware von QuaDream zeigt einmal mehr, dass die Spyware-Branche – die einst von Hacking Team und FinFisher dominiert wurde – nicht nur aus der NSO Group besteht, sondern auch aus mehreren anderen Unternehmen, von denen die meisten noch immer unter dem Radar bleiben.

„Es gibt ein breiteres Ökosystem dieser Unternehmen und die gezielte Ausrichtung auf einzelne Unternehmen ist nicht unbedingt die optimale Strategie, um die Branche einzudämmen“, sagte Marczak.

In einem Blogbeitrag zum Microsoft-Bericht schrieb Amy Hogan-Burney, General Managerin des Unternehmens und Associate General Counsel für Cybersicherheitspolitik und -schutz, dass „das explosionsartige Wachstum privater ‚Cyber-Söldner‘-Unternehmen eine Bedrohung für Demokratie und Menschenrechte in der ganzen Welt darstellt.“ Welt."

„Da die Technologiebranche den Großteil dessen, was wir als ‚Cyberspace‘ bezeichnen, aufbaut und unterhält, haben wir als Branche die Verantwortung, den durch Cyber-Söldner verursachten Schaden zu begrenzen“, schrieb Hogan-Burney. „Es ist nur eine Frage der Zeit, bis sich der Einsatz der von ihnen verkauften Tools und Technologien noch weiter ausbreitet. Dies stellt ein echtes Risiko für die Menschenrechte im Internet, aber auch für die Sicherheit und Stabilität der breiteren Online-Umgebung dar. Die von ihnen angebotenen Dienste erfordern Cyber.“ Söldner horten Schwachstellen auf und suchen nach neuen Möglichkeiten, ohne Autorisierung auf Netzwerke zuzugreifen. Ihre Aktionen wirken sich nicht nur auf die einzelnen Personen aus, auf die sie abzielen, sondern machen ganze Netzwerke und Produkte anfällig für weitere Angriffe. Wir müssen gegen diese Bedrohung vorgehen, bevor die Situation eskaliert über das hinaus, was die Technologiebranche bewältigen kann.“

Haben Sie weitere Informationen zu QuaDream? Oder ein anderer Anbieter von Überwachungstechnologie? Wir würden uns freuen, von Ihnen zu hören. Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Wickr, Telegram und Wire @lorenzofb oder per E-Mail an [email protected] kontaktieren. Sie können TechCrunch auch über SecureDrop kontaktieren.