Journalisten und Kritiker ausspioniert: Forscher enthüllen Staatstrojaner

16. Juli 2021 um 13:22
image

Microsoft und Google schliessen Zeroday-Lücken, die von einem Sypware-Anbieter genutzt wurden. Opfer der Spionage finden sich auch in Westeuropa.

Microsoft hat einen professionellen Akteur enttarnt, der Cyberwaffen herstellt und an Regierungen verkauft. Die Tools der Gruppe Sourgum sei gegen mehr als 100 Opfer in der ganzen Welt eingesetzt worden, schreibt einer der beteiligten Forscher in einem Blogbeitrag. Vor allem Politiker, Journalisten, Dissidenten und Menschenrechtsaktivisten sollen überwacht und ausgeforscht worden sein. In Zusammenarbeit mit Security-Experten des Citizen Lab der Universität Toronto wurden die Aktivitäten der Gruppe über mehrere Monate beobachtet.
Das Citizen Lab hat die Akteure als die israelische IT-Firma Candiru identifiziert, die ihre Produkte an staatliche Stellen rund um den Globus verkaufen soll. Damit zerren sie einen weiteren Anbieter von Staats-Trojanern ans Licht der Öffentlichkeit, der seine Tätigkeiten gerne verborgen hätte. Bekannt wurde vor einigen Jahren der Fall der Firma NSO Group, deren Software ebenfalls gegen Dissidenten genutzt wurde.
Die Spyware der Firma Candiru sei immer wieder auf Telefonen und Computern von Menschen gefunden, die repressiven Regimes kritisch gegenüberstehen würden, heisst es von den Forschenden. In ihrer Analyse ist die Rede von mindestens 100 Personen, die etwa in Israel, dem Iran, dem Libanon, Jemen, im spanischen Katalonien, dem Vereinigten Königreich, der Türkei, Armenien und Singapur aktiv waren. Die Entdeckung der Opfer in diesen Ländern bedeutet aber nicht zwingend, dass die Staaten Kunden von Sourgum beziehungsweise Candiru sind, da internationale Überwachung verbreitet ist.
Die Malware – von Microsoft DevilsTongue genannt – kann iPhones, Android-Geräte, Macs, PCs und Cloud-Accounts infizieren. Die Forscher spürten mehr als 750 gefälschte Websites auf, die missbräuchlich als Präsenz von Amnesty International, der Black-Lives-Matter-Bewegung und Medienunternehmen ('CNN', 'Deutsche Welle', 'Euronews', 'France 24') ausgegeben wurden. Diese waren mit der Spyware bestückt, die Besucher infizieren konnte.
Microsoft schreibt, dass zwei Zeroday-Lücken in hauseigenen Produkten ausgenutzt wurden. Dies ermöglichte Angreifern, Passwörter zu stehlen sowie Dateien und Nachrichten von Geräten zu exportieren – auch von der verschlüsselten Messaging-App Signal. Microsoft reagierte bereits und hat ein Update zur Verfügung gestellt, das die Lücken schliesst. Zudem erkennen die Security-Programme von Microsoft nun die Malware, wie es aus Redmond heisst.
Offenbar konnte Candiru aber noch weitere Lücken instrumentalisieren. Google hat ein Vulnerabilities Disclosure veröffentlich und darin auf 4 Zeroday-Lücken, hingewiesen, die 2021 entdeckt wurden – zwei davon im hauseigenen Chrome-Browser. Die Threat Analysis Group (TAG) des Konzerns schreibt in einem Blogbeitrag, dass drei der Exploits von einem kommerziellem Überwachungsunternehmen entwickelt worden seien, das diese Fähigkeiten an von der Regierung unterstützte Akteure verkauft habe. Die TAG nennt Candiru nicht explizit, verweist aber auf die Forschung des Citizen Labs.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Vogt am Freitag: "Wir nehmen das ernst"

Cyberangriffe auf Unternehmen zeigen, wie fahrlässig diese mit schützenswerten Daten umgehen. Die meisten nehmen das Thema erst dann ernst, wenn es zu spät ist. Wenn überhaupt.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024