Moskau
Moskau
Bildquelle: stockcake

Trojaner der NSO Group oder intellexa in russischer Hand

Forscher von Google stellten unzählige Angriffe fest, die mithilfe der Schadsoftware der NSO Group oder Intellexa durchgeführt wurden.

Die Threat Analysis Group (TAG) von Google stellte zwischen November 2023 und Juli 2024 mehrere Exploit-Angriffe in freier Wildbahn fest, die entweder von intellexa oder der NSO Group stammen. Die Angriffe betrafen unter anderem mongolische Regierungswebsites.

APT29 nutzte Schadsoftware der NSO Group oder intellexa

Im Blog der TAG beschreibt man im Detail, wie russische Hacker ihre Angriffe realisiert haben. Die Kampagnen missbrauchten zunächst einen iOS-WebKit-Exploit, der iOS-Versionen älter als 16.6.1 betraf. Beim Watering-Hole-Angriff mussten die iPhone-Nutzer lediglich speziell präparierte (infizierte) Webseiten besuchen. Später nutzten die Hacker eine Chrome-Exploit-Kette gegen Android-Nutzer mit den Versionen m121 bis m123. Diese Kampagnen funktionierten auf allen ungepatchten Android-Smartphones.

Intellexa

Die Sicherheitsforscher der TAG gehen mit mittlerer Sicherheit davon aus, dass die Kampagnen mit dem von der russischen Regierung unterstützten Hackergruppierung APT29 in Verbindung stehen. Die Angreifer nutzten dabei Exploits, die identisch oder auffallend ähnlich zu Exploits waren, die zuvor die kommerziellen Überwachungsanbieter intellexa und NSO Group genutzt haben. Beide Unternehmen stammen aus Israel. intellexa ist bekannt für die Spyware Predator.

Hacker fanden schon Schwachstellen bei Microsoft & Co.

Es ist zwar unklar, wie die russische Regierung diese Schwachstellen erhalten hat. Doch dies ist ein Beispiel dafür, wie Exploits, die kommerzielle Spyware-Hersteller entwickelt haben, im schlechtesten Fall ihren Weg direkt nach Moskau finden. APT29 ist bekannt für ausgeklügelte Angriffe, die der Spionage oder dem Kopieren von Daten dienen. Davor ist kaum jemand gefeit. Sogar Microsoft oder Solarwinds waren schon Ziel ihrer Angriffe.

nso group

Der Sicherheitsabteilung von Google zufolge hat man die Safari-Sicherheitslücke verwendet, um Cookies für Benutzerkonten zu stehlen, die bei verschiedenen Online-E-Mail-Anbietern gespeichert sind. Ziel der Aktion waren in diesem Fall diverse Zugangsdaten von mongolischen Regierungsmitgliedern.

Auch unter Android gelang es mithilfe von gleich zwei Schwachstellen der NSO Group oder intellexa Cookies dafür, um auf die Konten der Regierungsmitarbeiter zuzugreifen. Die Thread Analysis Group fand den gleichen Code, den APT29 schon einmal im Jahr 2021 verwendet hat. Man nimmt an, dass die Hacker Befehlsempfänger des russischen Geheimdienstes Sluschba wneschnei raswedki (SWR, auch bekannt als SVR) sind.

Wie gelangten die Exploits von intellexa nach Moskau?

Sluschba wneschnei raswedki, SWR, SVR
Geheimdienst SVR (SWR)

Wie aber sind die zuvor nicht bekannten Schwachstellen von Firmen wie der NSO Group oder intellexa in die Hand russischer Hacker gelangt? Möglicherweise hat jemand von der Gruppierung zufällig die gleichen Schwachstellen entdeckt. Dies ist möglich, aber wohl eher unwahrscheinlich. Oder aber man habe sie mit dem Geld Moskaus gekauft oder Dritten gestohlen, vermutet Google.

Bis auf die Hacker selbst, Mitarbeiter des Auslandsgeheimdienstes SVR und Moskaus Regierung weiß niemand etwas Genaueres.

Gegenüber Techcrunch, die davon zuerst berichtet haben, betont die NSO Group, man habe keine Software an Russland veräußert. Die Presseanfrage bei intellexa und der russischen Botschaft beantwortete man den Kollegen von Techcrunch nicht.

Wer die Verschlüsselung knackt, gibt Wladimir Putin den Schlüssel zum Königreich

Putin

Expertinnen und Experten aus der IT-Branche warnen schon lange vor den Forderungen zahlreicher EU-Politiker, eine Hintertür in die Verschlüsselung von Messengerdiensten zum Wohl von Ermittlungsbehörden zu installieren. Auch die Entwicklung staatlicher Schadsoftware sieht man kritisch.

Ähnlich äußerte sich auch Gastdozent Toomas Ilves, der ehemalige Präsident von Estland und Digitalpionier, gegenüber dem Standard. Im Gespräch sagte er: „Wer Verschlüsselung aufhebt, gibt Putin den Schlüssel zum Königreich.

intellexa

Die Einführung der Chatkontrolle werde mittelfristig zu einem erheblichen Sicherheitsrisiko für die Geräte innerhalb der EU. Immer dann wenn es eine Schadsoftware oder eine Hintertür gibt, weiß man nie, in wessen Hände diese früher oder später geraten könnte. Eigentlich war das Thema vom Tisch, bis Ungarn es gestern wieder auf den Tisch brachte.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.