In diesem Jahr wurden die Telefone eines serbischen Journalisten und eines Aktivisten von örtlichen Behörden mit einem Handy-Entsperrgerät des forensischen Werkzeugherstellers Cellebrite gehackt. Das Ziel der Behörden bestand nicht nur darin, die Telefone zu entsperren, um auf ihre persönlichen Daten zuzugreifen, wie es Cellebrite zulässt, sondern auch darin, Spyware zu installieren, um eine weitere Überwachung zu ermöglichen. laut einem neuen Bericht von Amnesty International.
Amnesty sagte in seinem Bericht, dass es sich seiner Meinung nach um „die ersten forensisch dokumentierten Spyware-Infektionen handelt, die durch den Einsatz“ von Cellebrite-Tools ermöglicht werden.
Diese grobe, aber effektive Technik ist eine der vielen Möglichkeiten, mit denen Regierungen Spyware zur Überwachung ihrer Bürger einsetzen. Im letzten Jahrzehnt haben Organisationen wie Amnesty und die Gruppe für digitale Rechte Citizen Lab Dutzende Fälle dokumentiert, in denen Regierungen fortschrittliche Spyware von westlichen Anbietern von Überwachungstechnologien wie NSO Group, Intellexa und dem inzwischen aufgelösten Spyware-Pionier Hacking Team verwendeten , um Dissidenten, Journalisten und politische Gegner aus der Ferne zu hacken.
Jetzt, da Zero-Day-Spyware und aus der Ferne eingeschleuste Spyware aufgrund von Sicherheitsverbesserungen immer teurer werden, müssen sich die Behörden möglicherweise mehr auf weniger ausgefeilte Methoden verlassen, wie etwa den physischen Zugriff auf die Telefone, die sie hacken wollen.
Obwohl es weltweit viele Fälle von Spyware-Missbrauch gab, gibt es keine Garantie dafür, dass es in den Vereinigten Staaten nicht passieren könnte oder nicht passieren würde. Im November, Forbes berichtete dass die Einwanderungs- und Zollbehörde (ICE) des US-Heimatschutzministeriums 20 Millionen US-Dollar ausgegeben hat, um Telefon-Hacking- und Überwachungstools zu erwerben, darunter Cellebrite. Angesichts der versprochenen Massenabschiebungskampagne des gewählten Präsidenten Donald Trump Forbes Berichten zufolge befürchten Experten, dass die ICE ihre Spionageaktivitäten verstärken wird, wenn die neue Regierung die Kontrolle über das Weiße Haus übernimmt.
Eine kurze Geschichte der frühen Spyware
Die Geschichte neigt dazu, sich zu wiederholen. Selbst wenn etwas Neues (oder Undokumentiertes) zum ersten Mal auftaucht, ist es möglich, dass es sich tatsächlich um eine Wiederholung von etwas handelt, das bereits passiert ist.
Vor zwanzig Jahren, als es bereits staatliche Spyware gab, in der Antiviren-Branche, deren Aufgabe es war, sich dagegen zu verteidigen, jedoch wenig bekannt war, konnten die Polizisten auf deren Kommunikation zugreifen, indem sie Spyware physisch auf den Computer eines Opfers schleusten. Die Behörden mussten physischen Zugriff auf das Gerät eines Opfers haben – manchmal durch Einbruch in dessen Wohnung oder Büro – und dann die Spyware manuell installieren.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu staatlicher Spyware und ihren Herstellern? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Aus diesem Grund waren beispielsweise frühe Versionen der Spyware von Hacking Team aus der Mitte der 2000er Jahre so konzipiert, dass sie von einem USB-Stick oder einer CD gestartet werden konnten. Noch früher, im Jahr 2001, Das FBI brach in das Büro des Gangsters Nicodemo Scarfo ein eine Spyware einzuschleusen, die überwachen soll, was Scarfo auf seiner Tastatur tippt, mit dem Ziel, den Schlüssel zu stehlen, mit dem er seine E-Mails verschlüsselt hat.
Diese Techniken erfreuen sich wieder wachsender Beliebtheit, wenn auch nicht aus Notwendigkeit.
Citizen Lab dokumentierte Anfang 2024 einen Fall, in dem der russische Geheimdienst FSB angeblich Spyware auf dem Telefon des russischen Staatsbürgers Kirill Parubets installierte, eines oppositionellen politischen Aktivisten, der seit 2022 in der Ukraine lebte, während er in Haft war. Die russischen Behörden hatten Parabuts gezwungen, den Passcode seines Telefons preiszugeben, bevor sie Spyware einschlugen, die auf seine privaten Daten zugreifen konnte.
Halten Sie an und suchen Sie
In den jüngsten Fällen in Serbien hat Amnesty eine neuartige Spyware auf den Telefonen des Journalisten Slaviša Milanov und des Jugendaktivisten Nikola Ristić entdeckt.
Im Februar 2024 stoppte die örtliche Polizei Milanov für eine scheinbar routinemäßige Verkehrskontrolle. Später wurde er auf eine Polizeiwache gebracht, wo Beamte laut Amnesty sein Android-Handy, ein Xiaomi Redmi Note 10S, während seiner Vernehmung mitnahmen.
Als Milanov es zurückbekam, sagte er, er habe etwas Seltsames gefunden.
„Mir ist aufgefallen, dass meine mobilen Daten (Datenübertragung) und WLAN ausgeschaltet sind. Die mobile Datenanwendung in meinem Mobiltelefon ist immer aktiviert. „Das war der erste Verdacht, dass jemand in mein Mobiltelefon eingedrungen ist“, sagte Milanov kürzlich in einem Interview mit Tech.
Milanov sagte, er habe es dann benutzt Bleiben Sie freieine Software, die verfolgt, wie viel Zeit jemand seine Apps nutzt, und stellte fest, dass „viele Anwendungen aktiv waren“, während das Telefon angeblich ausgeschaltet und in den Händen der Polizei war, die ihn seiner Aussage nach nie dazu aufgefordert oder gezwungen hatte, etwas zu geben den Passcode seines Telefons eingeben.
„Es zeigte sich, dass im Zeitraum von 11:54 bis 13:08 Uhr hauptsächlich die Anwendungen „Einstellungen“ und „Sicherheit“ sowie der Dateimanager sowie Google Play Store, Rekorder, Galerie und Kontakt aktiviert waren, was mit der Zeit übereinstimmt, in der das Telefon eingeschaltet war war nicht bei mir“, sagte Milanov.
„In dieser Zeit haben sie 1,6 GB Daten von meinem Mobiltelefon extrahiert“, sagte er.
Zu diesem Zeitpunkt war Milanov „unangenehm überrascht und sehr wütend“ und hatte ein „ungutes Gefühl“, dass seine Privatsphäre gefährdet sei. Er kontaktierte Amnesty, um sein Telefon forensisch überprüfen zu lassen.
Donncha Ó Cearbhaill, der Leiter des Sicherheitslabors von Amnesty, analysierte Milanovs Telefon und stellte tatsächlich fest, dass es mit Cellebrite entsperrt worden war und eine Android-Spyware installiert hatte, die Amnesty NoviSpy nennt, vom serbischen Wort für „neu“.
Spyware wird wahrscheinlich „weit verbreitet“ in der Zivilgesellschaft eingesetzt
Amnestys Analyse der NoviSpy-Spyware und eine Reihe von OPSEC-Fehlern (Operational Security) deuten darauf hin, dass der serbische Geheimdienst der Entwickler der Spyware ist.
Dem Bericht von Amnesty zufolge wurde die Spyware verwendet, um „mobile Geräte systematisch und heimlich während der Festnahme, Inhaftierung oder in einigen Fällen bei Informationsinterviews mit Mitgliedern der Zivilgesellschaft zu infizieren“. „In mehreren Fällen scheinen die Verhaftungen oder Inhaftierungen geplant worden zu sein, um einen verdeckten Zugriff auf das Gerät einer Person zu ermöglichen, um Daten zu extrahieren oder das Gerät zu infizieren“, so Amnesty.
Amnesty geht davon aus, dass NoviSpy wahrscheinlich im Land entwickelt wurde, wenn man bedenkt, dass der Code Kommentare und Zeichenfolgen in serbischer Sprache enthält und dass NoviSpy für die Kommunikation mit Servern in Serbien programmiert wurde.
Ein Fehler der serbischen Behörden ermöglichte es Amnesty-Forschern, NoviSpy mit der serbischen Sicherheitsinformationsagentur, bekannt als Bezbedonosno-informaciona Agencija (BIA), und einem ihrer Server in Verbindung zu bringen.
Bei ihrer Analyse stellten die Forscher von Amnesty fest, dass NoviSpy für die Kommunikation mit einer bestimmten IP-Adresse konzipiert war: 195.178.51.251.
Im Jahr 2015 wurde genau dieselbe IP-Adresse mit einem Agenten der serbischen BIA verknüpft. Zu der Zeit, Citizen Lab hat diese spezifische IP-Adresse gefunden identifizierte sich als „DPRODAN-PC“ auf Shodan, einer Suchmaschine, die Server und Computer auflistet, die dem Internet ausgesetzt sind. Es stellte sich heraus, dass eine Person mit einer E-Mail-Adresse, die „dprodan“ enthielt, hatte Kontakt gehabt mit dem Spyware-Hersteller Hacking Team über eine Demo im Februar 2012. Laut durchgesickerten E-Mails von Hacking Team veranstalteten Mitarbeiter des Unternehmens ungefähr zu diesem Zeitpunkt eine Demo in der serbischen Hauptstadt Belgrad, was Citizen Lab zu dem Schluss brachte, dass „dprodan“ ebenfalls ein serbisches BIA ist Mitarbeiter.
Derselbe IP-Adressbereich, der 2015 von Citizen Lab identifiziert wurde (195.178.51.xxx), ist nach Angaben von Amnesty immer noch mit der BIA verbunden. Amnesty gab an, dass die öffentliche Website der BIA kürzlich in diesem IP-Bereich gehostet wurde.
Amnesty sagte, es habe eine forensische Analyse von zwei Dutzend Mitgliedern der serbischen Zivilgesellschaft durchgeführt, die meisten davon Android-Nutzer, und weitere mit NoviSpy infizierte Personen gefunden. Laut Amnesty deuten einige Hinweise im Spyware-Code darauf hin, dass die BIA und die serbische Polizei ihn in großem Umfang eingesetzt haben.
Das BIA und das serbische Innenministerium, das die serbische Polizei beaufsichtigt, antworteten nicht auf die Bitte von Tech um einen Kommentar.
Der Code von NoviSpy enthält nach Ansicht von Amnesty-Forschern möglicherweise eine inkrementelle Benutzer-ID, die im Fall eines Opfers 621 betrug. Im Fall eines anderen Opfers, das etwa einen Monat später infiziert wurde, lag diese Zahl über 640, was darauf hindeutet, dass die Behörden mehr infiziert hatten als zwanzig Personen in dieser Zeitspanne. Die Forscher von Amnesty sagten, sie hätten auf VirusTotal, einem Online-Repository für Malware-Scans, eine Version von NoviSpy aus dem Jahr 2018 gefunden, was darauf hindeutet, dass die Malware über mehrere Jahre hinweg entwickelt wurde.
Im Rahmen seiner Untersuchungen zu in Serbien eingesetzter Spyware identifizierte Amnesty auch einen Zero-Day-Exploit in Qualcomm-Chipsätzen, der gegen das Gerät eines serbischen Aktivisten eingesetzt wurde, wahrscheinlich unter Verwendung von Cellebrite. Qualcomm gab im Oktober bekannt, dass die Schwachstelle nach der Entdeckung durch Amnesty behoben wurde.
Als er um einen Kommentar gebeten wurde, sagte Victor Cooper, Sprecher von Cellebrite, dass die Tools des Unternehmens nicht zur Installation von Malware verwendet werden könnten, „das müsste ein Dritter tun“.
Der Sprecher von Cellebrite lehnte es ab, Einzelheiten zu seinen Kunden zu nennen, fügte jedoch hinzu, dass das Unternehmen „weitere Untersuchungen“ durchführen werde. Das Unternehmen sagte, wenn Serbien seine Endverbrauchervereinbarung brechen würde, werde das Unternehmen „neu bewerten, ob es zu den 100 Ländern gehört, mit denen wir Geschäfte machen“.