Cybersicherheit

Wie ein Zero-Click-Exploit die Spyware-Untersuchung des Europäischen Parlaments infiltrierte

Wie ein Zero-Click-Pegasus-Exploit ein Mitglied des Europäischen Parlaments während einer brisanten Spyware-Untersuchung ins Visier nahm. Technische Analyse der PWNYOURHOME-Schwachstelle.
Wie ein Zero-Click-Exploit die Spyware-Untersuchung des Europäischen Parlaments infiltrierte

Die Kompromittierung eines Mobilgeräts eines Abgeordneten, der mit der Untersuchung illegaler Überwachung beauftragt ist, klingt wie ein Spionageroman, war für Stelios Kouloglou jedoch forensische Realität. Während seiner Tätigkeit im PEGA-Ausschuss des Europäischen Parlaments war Kouloglou das Ziel wiederholter Infektionen mit der Pegasus-Spyware. Dieser Ausschuss wurde speziell ins Leben gerufen, um den Missbrauch kommerzieller Überwachungswerkzeuge in der gesamten Europäischen Union zu untersuchen. Die Ironie der Situation ist offensichtlich, doch die technischen Mechanismen des Angriffs offenbaren eine weitaus besorgniserregendere Realität der modernen mobilen Sicherheit. Bei diesem Vorfall ging es nicht darum, dass ein Benutzer auf einen verdächtigen Link klickte oder einen bösartigen Anhang herunterlud. Es handelte sich um eine lautlose Zero-Click-Intrusion, die die Standard-Sicherheitskontrollen eines der sichersten Endgeräte auf dem Markt umging.

Ich habe kürzlich einen Nachmittag damit verbracht, gemeinsam mit einem Kollegen, der auf mobile Incident Response spezialisiert ist, die bei Pegasus-Infektionen üblichen forensischen Artefakte zu untersuchen. Wir sehen oft ein Muster, bei dem die versiertesten Angreifer Interaktionen gänzlich vermeiden. Sie bevorzugen den Weg des geringsten Widerstands, was in der Welt der High-End-Söldner-Spyware oft bedeutet, Systemprozesse ins Visier zu nehmen, die der Benutzer nie zu Gesicht bekommt. In Kouloglous Fall nutzten die Angreifer eine spezifische Schwachstelle in Apples HomeKit-Framework aus. Diese Methodik ermöglicht es einem Angreifer, ein Gerät ohne jegliche Benachrichtigung oder Aktion des Besitzers zu kompromittieren. Wenn Ihr Sicherheitsmodell darauf basiert, dass der Benutzer die richtige Entscheidung trifft, macht ein Zero-Click-Exploit dieses Modell effektiv hinfällig.

Die Anatomie des PWNYOURHOME-Exploits

Die Forscher von Citizen Lab stellten fest, dass die Infektionen auf Kouloglous iPhone über einen Exploit mit dem Codenamen PWNYOURHOME erfolgten. Diese spezifische Angriffskette zielt auf den HomeKit-Daemon unter iOS ab. Am 21. Oktober 2022 zeigten forensische Protokolle eine Abfrage für eine spezifische HomeKit-bezogene E-Mail-Adresse: rauharepo888[@]gmail.com. Zwei Minuten später war ein Pegasus-Prozess auf dem Gerät aktiv und verbrauchte mobile Daten. Diese Abfolge von Ereignissen ist ein klassisches Anzeichen für einen aktiven Zero-Click-Exploit. Der Angreifer sendet eine speziell gestaltete Anfrage über einen Dienst wie iMessage oder HomeKit, die das Telefon automatisch im Hintergrund verarbeitet. Wenn die Anfrage bösartigen Code enthält, der einen Speicherverwaltungsfehler ausnutzt, erlangt der Angreifer die Fähigkeit, Code mit den Privilegien des angezielten Dienstes auszuführen.

Zum Zeitpunkt der ersten Infektion nutzte Kouloglou iOS 15.5. Apple behob diese Schwachstelle schließlich in iOS 16.3.1, doch über Monate hinweg blieb das Gerät für diesen spezifischen Eintrittspunkt offen. Aus architektonischer Sicht unterstreicht dieser Exploit eine systemische Schwäche in der Art und Weise, wie mobile Betriebssysteme komplexe, miteinander vernetzte Dienste handhaben. HomeKit ist darauf ausgelegt, das Leben durch die Automatisierung von Smart-Home-Geräten zu erleichtern, aber seine tiefe Integration in den Kern des Betriebssystems bietet eine massive Angriffsfläche. Man kann es sich wie eine Hintertür vorstellen, die in einem Hochsicherheitsgebäude unverschlossen bleibt, weil die Bewohner den Komfort eines ferngesteuerten Zutrittssystems wünschten.

Kartierung des Zeitplans der Intrusion

Der Zeitpunkt dieser Infektionen deutet auf ein hochgradig strategisches Ziel hin. Die erste erfolgreiche Kompromittierung erfolgte im Oktober 2022, während Kouloglou wegen einer Operation im Krankenhaus lag. In diesem Zeitraum erhielt er Besuch von Thanasis Koukakis, einem griechischen Journalisten, der zuvor Ziel der Predator-Spyware war. Die zweite Serie von Infektionen ereignete sich im März 2023. Dieser Zeitraum war für den PEGA-Ausschuss kritisch, da die Mitglieder in intensive Diskussionen über den endgültigen Entwurf ihres Untersuchungsberichts vertieft waren. Die Angreifer hatten genau in den Wochen Zugriff auf das Gerät, in denen vertrauliche Beratungen und Zeugenaussagen am sensibelsten waren.

Citizen Lab fand heraus, dass die Spyware am 6. und 7. März 2023 aktiv war und denselben PWNYOURHOME-Exploit nutzte, der bereits Monate zuvor verwendet worden war. Diese Persistenz ist ein Markenzeichen von Pegasus-Operationen. Die Spyware ist darauf ausgelegt, unauffällig, aber auch widerstandsfähig zu sein. Wenn ein Gerät neu startet, muss der Betreiber es oft neu infizieren. Die Tatsache, dass die Angreifer das Gerät erfolgreich über denselben Vektor erneut kompromittierten, deutet darauf hin, dass sie auf die anhaltende Wirksamkeit des Exploits gegen die ungepatchte iOS-Version vertrauten. Pegasus ermöglicht es dem Betreiber bauartbedingt, Anrufe aufzuzeichnen, verschlüsselte Nachrichten zu lesen und sogar das Mikrofon oder die Kamera aus der Ferne zu aktivieren. Für ein Mitglied eines Ausschusses, der genau diese Werkzeuge untersucht, ist die Offenlegung solcher Daten ein katastrophales Versagen der Vertraulichkeit.

Die Verbindung zur umfassenderen europäischen Überwachung

Einer der bedeutendsten Befunde im Bericht von Citizen Lab ist die Überschneidung zwischen dem Fall Kouloglou und anderen Kampagnen. Die spezifische Gmail-Adresse, die bei der HomeKit-Abfrage verwendet wurde, rauharepo888[@]gmail.com, wurde auch bei Angriffen gegen russische und belarussische Journalisten beobachtet, die im Exil in Europa leben. Die forensische Analyse der Pegasus-Infrastruktur deutet darauf hin, dass diese E-Mail-Adressen oft spezifisch für bestimmte Betreiber oder Kunden der NSO Group sind. Diese Entdeckung deutet auf einen Pegasus-Kunden mit einer Lizenz hin, die Operationen über mehrere europäische Jurisdiktionen hinweg erlaubt.

Diese Verbindung ändert das Narrativ von einem isolierten Vorfall hin zu einem Teil eines durchdringenden Musters grenzüberschreitender Überwachung. Wenn ein einzelner Betreiber sowohl Oppositionsjournalisten als auch hochrangige europäische Gesetzgeber ins Visier nimmt, verschwindet die Unterscheidung zwischen nationaler Sicherheit und politischer Spionage. In Bezug auf die Datenintegrität stellt das Vorhandensein solcher Werkzeuge auf dem Gerät eines Gesetzgebers die Sicherheit jeder Kommunikation infrage, die er mit Whistleblowern und Aktivisten geführt hat. Diese Personen riskieren oft ihr Leben, um Untersuchungsausschüssen Informationen bereitzustellen, und tun dies in der Annahme, dass ihre Identität durch die digitale Sicherheit des Abgeordneten geschützt ist.

Telekommunikation als lautloser Vektor

Während sich der Fall Kouloglou auf malwarebasierte Überwachung konzentrierte, ist es wichtig zu erkennen, dass Pegasus nur ein Teil eines größeren Instrumentariums ist. Jüngste Untersuchungen von Citizen Lab haben auch den Einsatz von Tracking auf Telekommunikationsebene enthüllt. Diese Kampagnen nutzen Schwachstellen in den Protokollen Signaling System No. 7 (SS7) und Diameter aus, die das Rückgrat des globalen mobilen Roamings bilden. Angreifer können den Standort einer Person verfolgen, ohne jemals Malware auf deren Gerät zu installieren. Dies geschieht durch das Spoofing von Betreiberidentitäten und das Senden bösartiger Signalisierungsbefehle über vertrauenswürdige Telekommunikationsanbieter.

Diese Art der Überwachung ist noch schwerer zu erkennen als eine Pegasus-Infektion. Es gibt keine forensischen Artefakte auf dem Telefon, da der Angriff innerhalb der Netzwerkinfrastruktur stattfindet. Proaktiv betrachtet macht dies das Telekommunikations-Ökosystem zu einem kritischen Schwachpunkt für Hochrisiko-Personen. Bestimmte Anbieter in Großbritannien und Jersey wurden als Transitpunkte für diesen bösartigen Signalisierungsverkehr identifiziert. Diese Anbieter fungierten effektiv als verdeckte Brücke für Überwachungsanbieter, um Ziele weltweit zu verfolgen. Dies zeigt, dass selbst wenn man das sicherste Telefon der Welt besitzt, das Netzwerk selbst ein ausnutzbarer Pfad für staatlich gesponserte Akteure bleibt.

Auf dem Weg zu einer resilienten Verteidigung

Das wiederkehrende Thema in diesen forensischen Berichten ist, dass traditionelle Sicherheitsmaßnahmen gegen Söldner-Spyware unzureichend sind. Wenn Sie ein Hochrisiko-Ziel sind, ist das Patchen nur der erste Schritt. Patchen ist wie das Stopfen von Löchern im Rumpf eines Schiffes; es hält Sie über Wasser, aber es hindert den Feind nicht daran, weitere Schüsse abzugeben. Für Benutzer, die staatlich gesponserten Bedrohungen ausgesetzt sind, hat Apple den Blockierungsmodus (Lockdown Mode) eingeführt. Diese Funktion reduziert die Angriffsfläche drastisch, indem sie komplexe Webtechnologien deaktiviert, bestimmte Arten von Anhängen blockiert und eingehende Dienstanfragen wie HomeKit-Einladungen von unbekannten Benutzern einschränkt.

Aus einer Risikoperspektive ist der Fall Kouloglou eine Erinnerung daran, dass digitale Sicherheit eine missionskritische Komponente demokratischer Aufsicht ist. Wenn die Ermittler selbst kompromittiert werden, steht die Integrität der gesamten Untersuchung auf dem Spiel. Wir müssen uns in Richtung eines Zero-Trust-Modells für Mobilgeräte bewegen, bei dem wir nicht länger davon ausgehen, dass ein Gerät sicher ist, nur weil es aktualisiert wurde. Für Personen in sensiblen Rollen sind Hardware-Sicherheitsschlüssel und Ende-zu-Ende-verschlüsselte Kommunikation über Plattformen wie Signal nicht länger optional. Sie sind die Basis für das Überleben in einer digitalen Umgebung, in der die Wände Ohren haben.

Wichtige Erkenntnisse für Hochrisiko-Nutzer

Die Implementierung einer Verteidigungsstrategie erfordert einen granularen Ansatz zur Gerätehärtung. Wenn Ihre Arbeit den Umgang mit sensiblen Daten oder die Untersuchung mächtiger Instanzen beinhaltet, ziehen Sie die folgenden Schritte in Betracht:

  • Aktivieren Sie den Blockierungsmodus auf allen iOS- und macOS-Geräten, um die risikoreichen Funktionen zu deaktivieren, die häufig in Zero-Click-Exploits verwendet werden.
  • Überprüfen Sie Ihre Apple-ID- und Google-Konten auf nicht autorisierte Geräte und stellen Sie sicher, dass HomeKit-Berechtigungen auf bekannte, vertrauenswürdige Kontakte beschränkt sind.
  • Verwenden Sie Hardware-Sicherheitsschlüssel für die Multi-Faktor-Authentifizierung, um Kontoübernahmen zu verhindern, selbst wenn Ihre Zugangsdaten kompromittiert wurden.
  • Starten Sie Ihr Mobilgerät täglich neu. Während einige Spyware persistent ist, befinden sich viele Exploits im temporären Speicher und werden bei einem Neustart gelöscht.
  • Achten Sie auf Bedrohungsmeldungen der Hersteller. Apple und Google benachrichtigen Benutzer mittlerweile proaktiv, wenn sie Anzeichen für staatlich gesponserte Angriffe erkennen.

Quellen:

  • Citizen Lab: "The PEGA Committee and the Pegasus Spyware"
  • NIST Special Publication 800-213: "IoT Device Cybersecurity Guidance"
  • MITRE ATT&CK: "Mobile Software Techniques and Sub-Techniques"
  • European Parliament: "PEGA Committee Final Report on the Use of Pegasus"

Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und Bildungszwecken und ersetzt keine professionelle Cybersicherheitsprüfung oder Incident-Response-Dienste.

bg
bg
bg

Wir sehen uns auf der anderen Seite.

Unsere Ende-zu-Ende-verschlüsselte E-Mail- und Cloud-Speicherlösung bietet die leistungsfähigsten Mittel für den sicheren Datenaustausch und gewährleistet die Sicherheit und den Schutz Ihrer Daten.

/ Kostenloses Konto erstellen