keyboard
keyboard
Bildquelle: Stillness InMotion, Lizenz

Zer0Day Lab veröffentlicht Quellcode von Pegasus?

Das Hackerkollektiv Zer0Day Lab hat heute via Telegram den Quellcode der kommerziellen Schadsoftware Pegasus der NSO Group veröffentlicht.

Das Archiv mit dem Quellcode von Pegasus ist noch ungeprüft und umfasst lediglich 18,4 Megabyte. Allerdings ist die Gruppierung Zer0Day Lab bisher nicht aufgrund von Fakes negativ aufgefallen. Der Ursprung des Leaks ist bisher nicht bekannt. Der Download vom Telegram-Kanal der Hacker (https://t.me/zer0daylab) ist schon nach wenigen Sekunden abgeschlossen.

Update: Es ist offenbar die gleichnamige Schadsoftware eines Hackerkollektivs, was auch für Smartphones gedacht ist.

Pegasus nach 5 Sekunden auf der Festplatte

Die Angelegenheit dürfte der israelischen NSO Group wohl kaum gefallen. Ihre professionelle Schadsoftware Pegasus dient dem Ausspähen von iOS- und Android-Smartphones in aller Welt. Der Besuch einer falschen Webseite ist für die Infektion des Geräts nicht nötig. Pegasus nutzte dafür bisher Zero-Click-Exploits in iOS und Android aus. Immer wenn der Hersteller die Lücke geschlossen hat, lassen sich die Techniker in Israel etwas Neues einfallen. Update: Noch ist nicht endgültig klar, ob es sich wirklich um die Software der NSO Group handelt. Erste Eindrücke sprechen zumindest dagegen.

Nach der Infektion kann die professionelle Schadsoftware unbemerkt auf sämtliche Daten zugreifen und sie über das Internet auf einen fremden Server übertragen. Betroffen sind davon beispielsweise Chatverläufe von WhatsApp, Telegram, das Adressbuch, alle Daten vom Terminkalender, die Browserverläufe aller installierten Webbrowser und vieles mehr.

Schadsoftware ist eine digitale Allzweckwaffe

pegasus

Laut der Analyse von Citizen Labs kann Pegasus auch auf das Mikrofon und die Kamera des Zielgerätes zugreifen. Die Überwachung des betroffenen Cloud-Kontos soll sogar noch funktionieren, nachdem die Infektion des Gerätes beendet ist.

Nicht jeder kann Pegasus legal nutzen. Wer die Nutzungsrechte von Pegasus auf Zeit erwerben will, benötigt das Einverständnis der israelischen Regierung. Wie wir kürzlich berichtet haben, hat das FBI die Schadsoftware nachweislich zu Testzwecken eingesetzt. Das CIA war in den letzten Jahren ebenfalls fleißig dabei, die Spyware der NSO Group nebst Waffen an Diktatoren in Afrika zu vermitteln. Betroffen von Späh-Angriffen waren in der Vergangenheit aber auch Journalisten, Politiker der Opposition, hochrangige Beamte u.v.m.

Erster Leak der Software überhaupt

Bis heute gab es keine Möglichkeit einen Blick auf den Quellcode und somit auf die genaue Funktionsweise von Pegasus zu werfen. Die Verzeichnisse datieren auf den 28. Februar 2022. Von daher besteht Hoffnung, dass der Source nicht schon überholt ist. Sichheitshalber sollte man jegliche Programme von dort nur innerhalb einer Virtual Machine starten, um möglicherweise nicht selbst gehackt zu werden. Wer weiß, was dort alles versteckt wurde!?

Auch für Apple bzw. Google dürfte die illegale Veröffentlichung von Zer0Day Lab von Interesse sein. Sie könnten somit schon bald mit einem vertretbaren Aufwand ihre mobilen Betriebssysteme gegen die Angriffe von außen schützen. Dann geht das Katz-und-Maus-Spiel mittels Pegasus wieder von vorne los.

Zer0 Day Lab

Wir haben übrigens kürzlich endlich eine Antwort von den Hackern per Twitter erhalten. Laut ihrer Aussage hat man die Sicherheitslücke bei der Krypto-Handelsbörse CoinPayEx noch immer nicht geschlossen. Auch ohne das von den Cyberkriminellen bei Telegram verbreitete Archiv sollen die Nutzerdaten der beinahe 200.000 Kunden noch immer mehr oder weniger öffentlich im Web einsehbar sein.

Über den Telegram-Kanal verkauft Zer0 Day Labs ansonsten Schadsoftware aller Art und verschenkt Schwarzkopien und E-Books mit dem Schwerpunkt IT-Security.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.