Microsoft hat einen professionellen Akteur enttarnt, der Cyberwaffen herstellt und an Regierungen verkauft. Die Tools der Gruppe Sourgum sei gegen mehr als 100 Opfer in der ganzen Welt eingesetzt worden, schreibt einer der beteiligten Forscher in einem Blogbeitrag. Vor allem Politiker, Journalisten, Dissidenten und Menschenrechtsaktivisten sollen überwacht und ausgeforscht worden sein. In Zusammenarbeit mit Security-Experten des Citizen Lab der Universität Toronto wurden die Aktivitäten der Gruppe über mehrere Monate beobachtet.

Das Citizen Lab hat die Akteure als die israelische IT-Firma Candiru identifiziert, die ihre Produkte an staatliche Stellen rund um den Globus verkaufen soll. Damit zerren sie einen weiteren Anbieter von Staats-Trojanern ans Licht der Öffentlichkeit, der seine Tätigkeiten gerne verborgen hätte. Bekannt wurde vor einigen Jahren der Fall der Firma NSO Group, deren Software ebenfalls gegen Dissidenten genutzt wurde.

Die Spyware der Firma Candiru sei immer wieder auf Telefonen und Computern von Menschen gefunden, die repressiven Regimes kritisch gegenüberstehen würden, heisst es von den Forschenden. In ihrer Analyse ist die Rede von mindestens 100 Personen, die etwa in Israel, dem Iran, dem Libanon, Jemen, im spanischen Katalonien, dem Vereinigten Königreich, der Türkei, Armenien und Singapur aktiv waren. Die Entdeckung der Opfer in diesen Ländern bedeutet aber nicht zwingend, dass die Staaten Kunden von Sourgum beziehungsweise Candiru sind, da internationale Überwachung verbreitet ist.

Die Malware – von Microsoft DevilsTongue genannt – kann iPhones, Android-Geräte, Macs, PCs und Cloud-Accounts infizieren. Die Forscher spürten mehr als 750 gefälschte Websites auf, die missbräuchlich als Präsenz von Amnesty International, der Black-Lives-Matter-Bewegung und Medienunternehmen ('CNN', 'Deutsche Welle', 'Euronews', 'France 24') ausgegeben wurden. Diese waren mit der Spyware bestückt, die Besucher infizieren konnte.

Microsoft schreibt, dass zwei Zeroday-Lücken in hauseigenen Produkten ausgenutzt wurden. Dies ermöglichte Angreifern, Passwörter zu stehlen sowie Dateien und Nachrichten von Geräten zu exportieren – auch von der verschlüsselten Messaging-App Signal. Microsoft reagierte bereits und hat ein Update zur Verfügung gestellt, das die Lücken schliesst. Zudem erkennen die Security-Programme von Microsoft nun die Malware, wie es aus Redmond heisst.

Offenbar konnte Candiru aber noch weitere Lücken instrumentalisieren. Google hat ein Vulnerabilities Disclosure veröffentlich und darin auf 4 Zeroday-Lücken, hingewiesen, die 2021 entdeckt wurden – zwei davon im hauseigenen Chrome-Browser. Die Threat Analysis Group (TAG) des Konzerns schreibt in einem Blogbeitrag, dass drei der Exploits von einem kommerziellem Überwachungsunternehmen entwickelt worden seien, das diese Fähigkeiten an von der Regierung unterstützte Akteure verkauft habe. Die TAG nennt Candiru nicht explizit, verweist aber auf die Forschung des Citizen Labs.