Ein Programmierer sagte, der russische Föderale Sicherheitsdienst (FSB) habe Spyware auf seinem Android-Telefon installiert, nachdem er Anfang des Jahres in Moskau festgenommen worden sei. Sicherheitsforscher bestätigten, dass auf seinem Telefon Spyware installiert war, wahrscheinlich als die Behörden physischen Zugriff auf sein Telefon hatten und ihn gezwungen hatten, seinen Passcode preiszugeben.
Für den Programmierer Kirill Parubets war es eine schreckliche und traumatische Tortur. Aber dank seiner Computerkompetenz und Wachsamkeit bietet seine Geschichte einen seltenen Bericht aus erster Hand darüber, wie russische Behörden einen ihrer Bürger mit Spionagesoftware ausstatteten – und zwar nicht durch einen technisch ausgefeilten Remote-Hacking-Angriff, sondern mit einem groberen Ansatz.
Parubets ist ein russischer Systemanalytiker, der ukrainische Wurzeln hat, sich selbst als „oppositionellen politischen Aktivisten“ bezeichnet und seit 2020 in der Ukraine lebt. Parubets sagt, er habe sich nach der umfassenden Invasion Russlands freiwillig gemeldet und den Ukrainern finanzielle und humanitäre Hilfe geleistet 2022.
Parubets sagte, er und seine Frau reisten 2023 nach Russland zurück, um einige Formalitäten zu erledigen, da sie versuchten, die moldauische Staatsbürgerschaft zu erhalten, die ihnen den Verbleib in der Ukraine ermöglicht hätte.
Am 18. April 2024 stürmten sechs mit Maschinengewehren bewaffnete FSB-Agenten gegen 6:30 Uhr morgens in die Wohnung von Parubets und seiner Frau in Moskau. „Sie warfen uns zu Boden, sie zerrten meine Frau in ein kleines Zimmer, ich lag im Flur. Sie ließen uns nicht anziehen“, heißt es in seiner Erinnerung an die Ereignisse, die Parubets in einem Dokument schrieb, das er Tech mitteilte.
Die Agenten fragten ihn nach Geldtransfers an Ukrainer sowie nach einem Freund von Parubets, den er mit dem Spitznamen Iwan Iwanow nennt. (Parubets sagt, er habe Ivans Namen geändert, um ihn zu schützen.)
„Wie lautet dein verdammtes Passwort?“ fragte einer der Agenten Parubets, als sie sein Android-Telefon abholten, nach seiner Erinnerung an die Ereignisse. Parubets war eingeschüchtert und sagte, er habe das Passwort preisgegeben.
Am selben Tag sagte Parubets, er und seine Frau seien verhaftet und zu 15 Tagen Verwaltungsarrest verurteilt worden. Während seiner Haft, wo er nach eigenen Angaben auch geschlagen wurde, besuchten ihn FSB-Beamte, sagte Parubets, und fragten ihn nach seinen ehrenamtlichen Aktivitäten und Spenden in der Ukraine sowie nach Spenden, die er im Namen seines Freundes Iwanow getätigt habe und die ihrer Meinung nach als solche eingestuft werden könnten Verrat. Dann baten ihn die FSB-Beamten laut Parubets, Iwanow auszuspionieren, von dem sie sagten, er habe mit den Sonderdiensten der Ukraine kommuniziert.
„Sie drohten mir und sagten, dass sie mich und meine Frau lebenslang ins Gefängnis stecken würden, wenn ich ihnen keine Hilfe leiste“, sagte Parubets.
Aus diesem Grund sagte Parubets, er habe beschlossen, den Agenten zu sagen, dass er bereit sei, ihnen zu helfen, obwohl er dies eigentlich nicht vorhatte.
Dann, am 3. Mai, sagte Parubets, er und seine Frau seien freigelassen worden und er sei losgegangen, um ihre Habseligkeiten, darunter sein Android-Telefon, zurückzuholen. Parubets sagte, er habe kurz darauf eine seltsame Benachrichtigung mit der Aufschrift „Arm Cortex vx3-Synchronisierung“ bemerkt, die dann verschwand und das Telefon neu startete.
Zu diesem Zeitpunkt sagte Parubets, der sich für Cybersicherheit interessiert, er habe sein Telefon inspiziert und eine verdächtige App gefunden, die über mehrere Berechtigungen verfügte, die Zugriff auf eine Fülle persönlicher Daten auf dem Telefon gewährten. Zu diesem Zeitpunkt sagte Parubets, er habe Kontakt aufgenommen Erste Abteilungeine Rechtshilfeorganisation. Die Organisation wandte sich wiederum an Citizen Lab, einen Sicherheitsforschungs- und Internetwächter an der Universität Toronto, um die verdächtige App zu analysieren.
Laut einem neuen Citizen Lab-Bericht Als die App am Donnerstag erschien und von Cooper Quintin, Rebekah Brown und John Scott-Railton verfasst wurde, handelte es sich tatsächlich um Spyware.
Die Forscher sagten, dass die von Parubets identifizierte verdächtige App offenbar „eine trojanisierte Version der echten Cube Call Recorder-Anwendung“ sei, einer legitimen Anrufaufzeichnungs-App.
Dem Bericht zufolge war die gefälschte App in der Lage, auf Standortinformationen zuzugreifen, Textnachrichten zu lesen und zu senden, andere Anwendungen zu installieren, den Kalender zu lesen, Screenshots zu machen und von der Videokamera aufzuzeichnen, eine Liste anderer Anwendungen anzuzeigen, Telefonanrufe entgegenzunehmen usw Benutzerkontodetails anzeigen – alle Berechtigungen, die der echte Cube Call Recorder nicht hat.
Die Entwickler von Cube Call Recorder antworteten nicht auf eine Anfrage nach einem Kommentar.
Technische Experten von First Department und Citizen Lab glauben, dass es sich bei der Spyware um eine neue Version einer Malware namens Monokle handelt, basierend auf mehreren Ähnlichkeiten, die die gegen Parubets eingesetzte Spyware im Vergleich zu einer früheren Version der Malware aufweist. Monokle wurde 2019 vom Cybersicherheitsunternehmen Lookout analysiert. Damals kam Lookout zu dem Schluss, dass Monokle vom Special Technology Centre entwickelt wurde, einem St. Petersburger Unternehmen, das von genehmigt wurde die US-Regierung Und andere Länder für die technische Unterstützung der russischen Regierung bei ihren Spionageaktivitäten.
Die russische Botschaft in Washington DC sowie die Pressestelle der russischen Regierung antworteten nicht auf eine Bitte um Stellungnahme. Auch das sanktionierte Special Technology Centre tat dies nicht.
Für Quintin, einen der Forscher, die die Malware analysiert haben, ist diese Malware, gemessen an den Funktionalitäten der auf Parubets‘ Telefon gefundenen Spyware und der von Lookout analysierten Vorgängerversion, „über mehrere Jahre hinweg professionell entwickelt worden.“
Quintin sagte, dass Parubets Geschichte eine Erinnerung daran sei, dass Spyware-Angriffe nicht aus der Ferne durchgeführt werden müssen, wie es beispielsweise mit Spyware der NSO Group geschieht.
„Menschen verbringen viel Zeit damit, über Zero-Click-Exploits und Zero-Day-Angriffe nachzudenken, neigen aber dazu, zu vergessen, dass jemand mit physischem Zugriff auf Ihr Telefon, der Sie mit Gewalt oder der Androhung von Gewalt dazu zwingen kann, es zu entsperren, genauso wahrscheinlich ist Risiko“, sagte Quintin gegenüber Tech.
In dem Bericht kamen Quintin und seine Kollegen zu dem Schluss, dass „jede Person, deren Gerät von einem Sicherheitsdienst beschlagnahmt wurde, davon ausgehen sollte, dass dem Gerät nicht mehr vertraut werden kann.“
Dmitry Zair-Bek, der Leiter des Menschenrechtsprojekts der Ersten Abteilung, rief die russische Regierung zur Rede und warnte, dass das, was Parubets passiert ist, auch anderen passieren könnte.
„Wir haben erwartet, dass etwas Ähnliches wie im Fall von Kirill Parubets passieren könnte, nur weil dies perfekt mit der Logik der russischen Geheimdienste übereinstimmt. Das Ausmaß der Repression ist wirklich erschreckend und ein großes Problem besteht darin, dass es keine „roten Linien“ mehr für das Erlaubte gibt“, sagte Zair-Bek gegenüber Tech. „Neben den Ukrainern gehören auch Bürger westlicher Länder, die Russland besuchen, zu einer besonders hohen Risikogruppe. Sie sind ein verlockendes Ziel für die Rekrutierung und die mögliche Inhaftierung als Geiseln.“
Nach seiner Freilassung sagte Parubets, er und seine Frau hätten Russland verlassen. Ironischerweise könnte ihm sein mit Spyware verseuchtes Telefon bei der Flucht geholfen haben, da er es in Moskau zurückließ.
„Ich musste so tun, als wäre ich noch in Moskau“, sagte Parubets. „Um etwas Zeit zu gewinnen.“