Wie Meta die neueste Phishing-Infrastruktur der NSO Group zerschlagen hat

Vertrauen Sie Ihrer Messaging-App, dass sie Sie vor den hochentwickeltsten Söldnern der Welt schützt? Ich frage dies, weil selbst bei einer Ende-zu-Ende-Verschlüsselung der eigentliche Kampf an den Rändern der Software stattfindet. Meta hat kürzlich die NSO Group dabei erwischt, wie sie erneut versuchte, das Schloss zu knacken. Dies ist nicht nur ein weiteres Katz-und-Maus-Spiel zwischen einem Tech-Giganten und einem Software-Anbieter. Es ist ein direkter Verstoß gegen eine Anordnung eines Bundesgerichts. Aus einer Risikoperspektive zeigt dieser Vorfall, dass hartnäckige Bedrohungsakteure nicht aufhören, wenn sie einen Rechtsstreit verlieren. Sie ändern einfach ihre Infrastruktur und versuchen es durch eine andere Tür.

Meta gab am Montag bekannt, dass es eine Reihe von Spear-Phishing-Versuchen entdeckt und blockiert hat, die mit dem israelischen Spyware-Anbieter in Verbindung stehen. Das Unternehmen reicht nun einen Antrag auf Bestrafung wegen Missachtung des Gerichts gegen die NSO Group ein. Dieser Schritt erfolgt, weil die NSO Group gegen eine dauerhafte Unterlassungsverfügung verstoßen hat, die es ihr untersagte, WhatsApp und seine Nutzer ins Visier zu nehmen. Hinter den Kulissen verfolgten die Sicherheitsteams von Meta bösartige Domains und unbefugte Konten, die die Spyware-Firma nutzte, um diese Angriffe zu ermöglichen.

Die Architektur eines One-Click-Angriffs

Phishing bleibt ein digitales Trojanisches Pferd selbst für die am stärksten gehärteten Systeme. In dieser neuesten Kampagne nutzte die NSO Group bösartige Links, um Ziele auf externe Websites zu leiten. Dies sind 1-Klick-Phishing-Kampagnen. Sie erfordern, dass ein Benutzer nur einmal mit einem Link interagiert, um ein Gerät zu kompromittieren. Sobald der Benutzer klickt, navigiert der Browser normalerweise zu einer Seite, die eine Schadlast ausliefert oder Anmeldedaten stiehlt. Meta identifizierte drei spezifische Domains in dieser Kampagne: fr24cast[.]com, ghazacast[.]com und ikhwancast[.]com.

Ich habe heute Morgen eine Stunde damit verbracht, die Namenskonventionen dieser Domains zu analysieren. Sie ahmen Nachrichten- oder Wetterdienste nach. Dies ist eine gängige Taktik, um die Wachsamkeit eines Ziels zu verringern. Aus der Sicht eines Endnutzers ist ein Link, der wie ein lokales Nachrichten-Update aussieht, weitaus weniger verdächtig als eine Folge von Zufallszeichen. Die NSO Group ist für diese Detailgenauigkeit bekannt. Sie senden nicht einfach nur einen Link; sie entwerfen ein Narrativ. Auf der architektonischen Ebene dienen diese Domains als Bereitstellungsraum für die Pegasus-Spyware. Diese Software ist berühmt für ihre Fähigkeit, Nachrichten, Fotos und Standortdaten sowohl von Android- als auch von iOS-Geräten zu extrahieren.

Bruch der dauerhaften Unterlassungsverfügung

Rechtliche Rahmenbedingungen sind nur so stark wie die Durchsetzung, die dahintersteht. Meta drängt nun auf diese Durchsetzung. Im Jahr 2023 befand ein US-Gericht die NSO Group für schuldig, gegen Bundesgesetze verstoßen zu haben, nachdem sie WhatsApp-Server ausgenutzt hatte, um Spyware bei 1.400 Personen einzusetzen. Dieses Urteil führte zu einer Geldstrafe von rund 168 Millionen US-Dollar. Viel wichtiger war jedoch, dass es eine dauerhafte Unterlassungsverfügung enthielt. Diese rechtliche Barriere verbot es der NSO Group, jemals wieder auf WhatsApp-Systeme zuzugreifen.

Durch die Erstellung neuer Testkonten und Gruppen umging die NSO Group den Geist und den Wortlaut dieser Verfügung. Meta erwischte das Unternehmen dabei, wie es diese Konten erstellte, um zu überprüfen, wie ihre Phishing-Links innerhalb der App erschienen. Ich habe dieses Verhalten in meinen eigenen Laborumgebungen gesehen. Ein Angreifer muss sehen, was das Ziel sieht. Er muss sicherstellen, dass die Link-Vorschau legitim aussieht und die Nachricht keinen automatisierten Spam-Filter auslöst. Meta hat diese Konten und Gruppen sofort gelöscht. Diese proaktive Verteidigung ist notwendig, da die NSO Group eine Geschichte systematischer Bemühungen zur Umgehung von Sicherheitskontrollen hat.

Die Grenzen der Ende-zu-Ende-Verschlüsselung

Ich höre oft Leute sagen, dass WhatsApp sicher sei, weil es verschlüsselt ist. Dies ist eine gefährliche Vereinfachung. Verschlüsselung schützt die Daten während der Übertragung. Sie ist ein bruchsicherer digitaler Tresor für Ihre Nachricht, während sie von Ihrem Telefon zum Telefon eines Freundes reist. Verschlüsselung nützt jedoch nichts, wenn der Angreifer den Endpunkt kompromittiert. Wenn ein Hacker über Pegasus die Kontrolle über Ihr Telefon hat, kann er Ihre Nachrichten lesen, bevor sie verschlüsselt oder nachdem sie entschlüsselt wurden.

Phishing ist die Brücke, die es Angreifern ermöglicht, den Wassergraben der Verschlüsselung zu überqueren. Die NSO Group versucht nicht, das Signal-Protokoll zu knacken, das WhatsApp verwendet. Sie wissen, dass es mathematisch sicher ist. Stattdessen zielen sie auf den Menschen ab, der die App benutzt. Aus diesem Grund drängt Meta die Nutzer zu strengen Kontoeinstellungen. Diese Einstellungen reduzieren die Angriffsfläche. Sie verwandeln die App in eine privatere Umgebung, in der nur bekannte Kontakte mit Ihnen interagieren können.

Härtung der menschlichen Firewall

Sicherheit ist ein Prozess, kein Produkt. Meta ermutigt nun Hochrisikopersonen, eine optionale Sicherheitsfunktion zu nutzen, die wie ein Sperrmodus (Lockdown Mode) funktioniert. Dies richtet sich an Journalisten, Aktivisten und Regierungsbeamte, die wahrscheinliche Ziele für die NSO Group sind. Wenn Sie diese strengen Einstellungen aktivieren, schränkt die App die Funktionalität ein, um die Sicherheit zu erhöhen. Zum Beispiel wird die Link-Vorschau deaktiviert. Link-Vorschauen sind zwar praktisch, erfordern aber, dass die App eine Website kontaktiert, um ein Bild und eine Beschreibung abzurufen. Ein Angreifer kann diesen Prozess nutzen, um Informationen über die IP-Adresse oder den Gerätetyp des Ziels zu sammeln.

Im Falle einer Sicherheitsverletzung bieten diese Einstellungen eine zusätzliche Resilienzebene. Der strenge Modus sperrt auch Profilfotos, Info-Details und den Online-Status nur für Kontakte. Er verhindert, dass unbekannte Konten Sie zu Gruppen hinzufügen. Dies ist ein Schritt hin zu einem Zero-Trust-Modell auf Benutzerebene. Es setzt voraus, dass jede Kommunikation von einer unbekannten Quelle eine potenzielle Bedrohung darstellt. Folglich ist der Benutzer sicherer, da die App externen Eingaben standardmäßig nicht mehr vertraut.

Das geopolitische Gewicht privater Spyware

Dieser Konflikt besteht nicht nur zwischen zwei Unternehmen. Er ist eine Angelegenheit der internationalen Sicherheit. Im Jahr 2021 setzte das US-Handelsministerium die NSO Group auf eine Blockliste. Grund dafür war, dass die Werkzeuge des Unternehmens es ausländischen Regierungen ermöglichten, transnationale Repression auszuüben. Die US-Regierung entschied, dass die Aktivitäten von NSO den nationalen Sicherheitsinteressen widersprachen. Diese jüngste Entdeckung durch Meta beweist, dass die Blockliste und die vorangegangenen Geldstrafen die Operationen von NSO nicht gestoppt haben.

Aus forensischer Sicht bietet die Entdeckung dieser drei Domains eine Spur für andere Sicherheitsforscher. Wenn Meta diese Kompromittierungsindikatoren (Indicators of Compromise) veröffentlicht, ermöglicht dies SOC-Analysten weltweit, ihre Protokolle zu überprüfen. Ich habe gesehen, wie ein kleines Datenfragment eines Unternehmens wie Meta eine viel größere staatlich gesponserte Kampagne auffliegen lassen kann. Diese Domains sind nun toxische Vermögenswerte für NSO. Egal wie oft sie ihre Namen ändern, das Muster ihrer Infrastruktur bleibt für diejenigen erkennbar, die wissen, wo sie suchen müssen.

Implementierung einer proaktiven Verteidigung

Wenn Sie in einem Bereich arbeiten, in dem Ihre Daten ein Ziel sind, können Sie sich nicht auf Standardeinstellungen verlassen. Das Patchen Ihrer Software ist der erste Schritt, aber es ist wie das Stopfen von Löchern in einem Schiffsrumpf. Sie müssen auch die Art und Weise ändern, wie Sie mit der Software interagieren. Proaktiv gesprochen sollten Sie Ihre Privatsphäre-Einstellungen mindestens einmal im Quartal überprüfen. Dies gilt insbesondere, da KI-gesteuertes Phishing bösartige Nachrichten noch schwerer erkennbar macht.

Meta tut das Richtige, indem es dies zurück vor Gericht bringt. Eine Geldstrafe von 168 Millionen US-Dollar war eindeutig keine ausreichende Abschreckung für ein Unternehmen, das hochwertige Exploits an Nationalstaaten verkauft. Eine Anordnung wegen Missachtung des Gerichts zieht schwerwiegendere Konsequenzen nach sich. Sie könnte zu weiteren Erkenntnissen über die internen Abläufe von NSO oder zu noch höheren finanziellen Strafen führen. Für den Rest von uns ist es eine Erinnerung daran, dass die Grenzen unseres digitalen Lebens ständig unter Druck stehen.

Praktische Schritte für Hochrisiko-Nutzer

Wenn Sie glauben, dass Sie gefährdet sind, Ziel von hochentwickelten Cyberangriffen zu werden, unternehmen Sie sofort diese Schritte, um Ihr Konto zu härten.

1. Aktivieren Sie die Verifizierung in zwei Schritten. Dies fügt eine PIN hinzu, die erforderlich ist, um Ihre Telefonnummer erneut bei WhatsApp zu registrieren.
2. Deaktivieren Sie die Link-Vorschau. Dies verhindert, dass die App automatisch Verbindungen zu Websites herstellt, die Sie nicht besucht haben.
3. Schränken Sie Gruppeneinladungen ein. Stellen Sie dies auf „Meine Kontakte“ ein, um zu verhindern, dass Fremde Sie zu bösartigen Gruppen hinzufügen.
4. Aktualisieren Sie Ihr Betriebssystem. Pegasus stützt sich oft auf Zero-Day-Schwachstellen in iOS oder Android.
5. Begrenzen Sie die Profilsichtbarkeit. Stellen Sie sicher, dass Ihr Profilfoto und der „Zuletzt online“-Status nur für Personen sichtbar sind, die Sie kennen.

Diese Schritte machen Sie nicht unsichtbar. Sie machen Sie zu einem schwierigen Ziel. Söldner-Spyware-Firmen suchen den Weg des geringsten Widerstands. Wenn Sie die einfachen Türen schließen, ziehen sie möglicherweise zu jemand anderem weiter.

Quellen

• NIST Special Publication 800-207: Zero Trust Architecture
• MITRE ATT&CK Framework: Software Techniques for NSO Group Pegasus
• U.S. Department of Commerce: Entity List Additions for Malicious Cyber Activities
• WhatsApp Security Whitepaper: End-to-End Encryption Protocols

Dieser Artikel dient ausschließlich Informations- und Bildungszwecken. Er ersetzt keine professionelle Cybersicherheitsprüfung oder einen Incident-Response-Service.