Die Kompromittierung eines Mobilgeräts eines Abgeordneten, der mit der Untersuchung illegaler Überwachung beauftragt ist, klingt wie ein Spionageroman, war für Stelios Kouloglou jedoch forensische Realität. Während seiner Tätigkeit im PEGA-Ausschuss des Europäischen Parlaments war Kouloglou das Ziel wiederholter Infektionen mit der Pegasus-Spyware. Dieser Ausschuss wurde speziell ins Leben gerufen, um den Missbrauch kommerzieller Überwachungswerkzeuge in der gesamten Europäischen Union zu untersuchen. Die Ironie der Situation ist offensichtlich, doch die technischen Mechanismen des Angriffs offenbaren eine weitaus besorgniserregendere Realität der modernen mobilen Sicherheit. Bei diesem Vorfall ging es nicht darum, dass ein Benutzer auf einen verdächtigen Link klickte oder einen bösartigen Anhang herunterlud. Es handelte sich um eine lautlose Zero-Click-Intrusion, die die Standard-Sicherheitskontrollen eines der sichersten Endgeräte auf dem Markt umging.
Ich habe kürzlich einen Nachmittag damit verbracht, gemeinsam mit einem Kollegen, der auf mobile Incident Response spezialisiert ist, die bei Pegasus-Infektionen üblichen forensischen Artefakte zu untersuchen. Wir sehen oft ein Muster, bei dem die versiertesten Angreifer Interaktionen gänzlich vermeiden. Sie bevorzugen den Weg des geringsten Widerstands, was in der Welt der High-End-Söldner-Spyware oft bedeutet, Systemprozesse ins Visier zu nehmen, die der Benutzer nie zu Gesicht bekommt. In Kouloglous Fall nutzten die Angreifer eine spezifische Schwachstelle in Apples HomeKit-Framework aus. Diese Methodik ermöglicht es einem Angreifer, ein Gerät ohne jegliche Benachrichtigung oder Aktion des Besitzers zu kompromittieren. Wenn Ihr Sicherheitsmodell darauf basiert, dass der Benutzer die richtige Entscheidung trifft, macht ein Zero-Click-Exploit dieses Modell effektiv hinfällig.
Die Forscher von Citizen Lab stellten fest, dass die Infektionen auf Kouloglous iPhone über einen Exploit mit dem Codenamen PWNYOURHOME erfolgten. Diese spezifische Angriffskette zielt auf den HomeKit-Daemon unter iOS ab. Am 21. Oktober 2022 zeigten forensische Protokolle eine Abfrage für eine spezifische HomeKit-bezogene E-Mail-Adresse: rauharepo888[@]gmail.com. Zwei Minuten später war ein Pegasus-Prozess auf dem Gerät aktiv und verbrauchte mobile Daten. Diese Abfolge von Ereignissen ist ein klassisches Anzeichen für einen aktiven Zero-Click-Exploit. Der Angreifer sendet eine speziell gestaltete Anfrage über einen Dienst wie iMessage oder HomeKit, die das Telefon automatisch im Hintergrund verarbeitet. Wenn die Anfrage bösartigen Code enthält, der einen Speicherverwaltungsfehler ausnutzt, erlangt der Angreifer die Fähigkeit, Code mit den Privilegien des angezielten Dienstes auszuführen.
Zum Zeitpunkt der ersten Infektion nutzte Kouloglou iOS 15.5. Apple behob diese Schwachstelle schließlich in iOS 16.3.1, doch über Monate hinweg blieb das Gerät für diesen spezifischen Eintrittspunkt offen. Aus architektonischer Sicht unterstreicht dieser Exploit eine systemische Schwäche in der Art und Weise, wie mobile Betriebssysteme komplexe, miteinander vernetzte Dienste handhaben. HomeKit ist darauf ausgelegt, das Leben durch die Automatisierung von Smart-Home-Geräten zu erleichtern, aber seine tiefe Integration in den Kern des Betriebssystems bietet eine massive Angriffsfläche. Man kann es sich wie eine Hintertür vorstellen, die in einem Hochsicherheitsgebäude unverschlossen bleibt, weil die Bewohner den Komfort eines ferngesteuerten Zutrittssystems wünschten.
Der Zeitpunkt dieser Infektionen deutet auf ein hochgradig strategisches Ziel hin. Die erste erfolgreiche Kompromittierung erfolgte im Oktober 2022, während Kouloglou wegen einer Operation im Krankenhaus lag. In diesem Zeitraum erhielt er Besuch von Thanasis Koukakis, einem griechischen Journalisten, der zuvor Ziel der Predator-Spyware war. Die zweite Serie von Infektionen ereignete sich im März 2023. Dieser Zeitraum war für den PEGA-Ausschuss kritisch, da die Mitglieder in intensive Diskussionen über den endgültigen Entwurf ihres Untersuchungsberichts vertieft waren. Die Angreifer hatten genau in den Wochen Zugriff auf das Gerät, in denen vertrauliche Beratungen und Zeugenaussagen am sensibelsten waren.
Citizen Lab fand heraus, dass die Spyware am 6. und 7. März 2023 aktiv war und denselben PWNYOURHOME-Exploit nutzte, der bereits Monate zuvor verwendet worden war. Diese Persistenz ist ein Markenzeichen von Pegasus-Operationen. Die Spyware ist darauf ausgelegt, unauffällig, aber auch widerstandsfähig zu sein. Wenn ein Gerät neu startet, muss der Betreiber es oft neu infizieren. Die Tatsache, dass die Angreifer das Gerät erfolgreich über denselben Vektor erneut kompromittierten, deutet darauf hin, dass sie auf die anhaltende Wirksamkeit des Exploits gegen die ungepatchte iOS-Version vertrauten. Pegasus ermöglicht es dem Betreiber bauartbedingt, Anrufe aufzuzeichnen, verschlüsselte Nachrichten zu lesen und sogar das Mikrofon oder die Kamera aus der Ferne zu aktivieren. Für ein Mitglied eines Ausschusses, der genau diese Werkzeuge untersucht, ist die Offenlegung solcher Daten ein katastrophales Versagen der Vertraulichkeit.
Einer der bedeutendsten Befunde im Bericht von Citizen Lab ist die Überschneidung zwischen dem Fall Kouloglou und anderen Kampagnen. Die spezifische Gmail-Adresse, die bei der HomeKit-Abfrage verwendet wurde, rauharepo888[@]gmail.com, wurde auch bei Angriffen gegen russische und belarussische Journalisten beobachtet, die im Exil in Europa leben. Die forensische Analyse der Pegasus-Infrastruktur deutet darauf hin, dass diese E-Mail-Adressen oft spezifisch für bestimmte Betreiber oder Kunden der NSO Group sind. Diese Entdeckung deutet auf einen Pegasus-Kunden mit einer Lizenz hin, die Operationen über mehrere europäische Jurisdiktionen hinweg erlaubt.
Diese Verbindung ändert das Narrativ von einem isolierten Vorfall hin zu einem Teil eines durchdringenden Musters grenzüberschreitender Überwachung. Wenn ein einzelner Betreiber sowohl Oppositionsjournalisten als auch hochrangige europäische Gesetzgeber ins Visier nimmt, verschwindet die Unterscheidung zwischen nationaler Sicherheit und politischer Spionage. In Bezug auf die Datenintegrität stellt das Vorhandensein solcher Werkzeuge auf dem Gerät eines Gesetzgebers die Sicherheit jeder Kommunikation infrage, die er mit Whistleblowern und Aktivisten geführt hat. Diese Personen riskieren oft ihr Leben, um Untersuchungsausschüssen Informationen bereitzustellen, und tun dies in der Annahme, dass ihre Identität durch die digitale Sicherheit des Abgeordneten geschützt ist.
Während sich der Fall Kouloglou auf malwarebasierte Überwachung konzentrierte, ist es wichtig zu erkennen, dass Pegasus nur ein Teil eines größeren Instrumentariums ist. Jüngste Untersuchungen von Citizen Lab haben auch den Einsatz von Tracking auf Telekommunikationsebene enthüllt. Diese Kampagnen nutzen Schwachstellen in den Protokollen Signaling System No. 7 (SS7) und Diameter aus, die das Rückgrat des globalen mobilen Roamings bilden. Angreifer können den Standort einer Person verfolgen, ohne jemals Malware auf deren Gerät zu installieren. Dies geschieht durch das Spoofing von Betreiberidentitäten und das Senden bösartiger Signalisierungsbefehle über vertrauenswürdige Telekommunikationsanbieter.
Diese Art der Überwachung ist noch schwerer zu erkennen als eine Pegasus-Infektion. Es gibt keine forensischen Artefakte auf dem Telefon, da der Angriff innerhalb der Netzwerkinfrastruktur stattfindet. Proaktiv betrachtet macht dies das Telekommunikations-Ökosystem zu einem kritischen Schwachpunkt für Hochrisiko-Personen. Bestimmte Anbieter in Großbritannien und Jersey wurden als Transitpunkte für diesen bösartigen Signalisierungsverkehr identifiziert. Diese Anbieter fungierten effektiv als verdeckte Brücke für Überwachungsanbieter, um Ziele weltweit zu verfolgen. Dies zeigt, dass selbst wenn man das sicherste Telefon der Welt besitzt, das Netzwerk selbst ein ausnutzbarer Pfad für staatlich gesponserte Akteure bleibt.
Das wiederkehrende Thema in diesen forensischen Berichten ist, dass traditionelle Sicherheitsmaßnahmen gegen Söldner-Spyware unzureichend sind. Wenn Sie ein Hochrisiko-Ziel sind, ist das Patchen nur der erste Schritt. Patchen ist wie das Stopfen von Löchern im Rumpf eines Schiffes; es hält Sie über Wasser, aber es hindert den Feind nicht daran, weitere Schüsse abzugeben. Für Benutzer, die staatlich gesponserten Bedrohungen ausgesetzt sind, hat Apple den Blockierungsmodus (Lockdown Mode) eingeführt. Diese Funktion reduziert die Angriffsfläche drastisch, indem sie komplexe Webtechnologien deaktiviert, bestimmte Arten von Anhängen blockiert und eingehende Dienstanfragen wie HomeKit-Einladungen von unbekannten Benutzern einschränkt.
Aus einer Risikoperspektive ist der Fall Kouloglou eine Erinnerung daran, dass digitale Sicherheit eine missionskritische Komponente demokratischer Aufsicht ist. Wenn die Ermittler selbst kompromittiert werden, steht die Integrität der gesamten Untersuchung auf dem Spiel. Wir müssen uns in Richtung eines Zero-Trust-Modells für Mobilgeräte bewegen, bei dem wir nicht länger davon ausgehen, dass ein Gerät sicher ist, nur weil es aktualisiert wurde. Für Personen in sensiblen Rollen sind Hardware-Sicherheitsschlüssel und Ende-zu-Ende-verschlüsselte Kommunikation über Plattformen wie Signal nicht länger optional. Sie sind die Basis für das Überleben in einer digitalen Umgebung, in der die Wände Ohren haben.
Die Implementierung einer Verteidigungsstrategie erfordert einen granularen Ansatz zur Gerätehärtung. Wenn Ihre Arbeit den Umgang mit sensiblen Daten oder die Untersuchung mächtiger Instanzen beinhaltet, ziehen Sie die folgenden Schritte in Betracht:
Quellen:
Haftungsausschluss: Dieser Artikel dient ausschließlich Informations- und Bildungszwecken und ersetzt keine professionelle Cybersicherheitsprüfung oder Incident-Response-Dienste.



Unsere Ende-zu-Ende-verschlüsselte E-Mail- und Cloud-Speicherlösung bietet die leistungsfähigsten Mittel für den sicheren Datenaustausch und gewährleistet die Sicherheit und den Schutz Ihrer Daten.
/ Kostenloses Konto erstellen