High-End Spyware und Regierungen – Match Made in Heaven?

Complion unterstützt Voice – Bundesverband der IT-Anwender e.V. bei der wöchentlichen Erstellung von IT-Sicherheitslageberichten im Rahmen des Cyber Security Competence Centers (CSCC). Im September enthielten diese Lageberichte vermehrt Meldungen zu aktiv ausgenutzten Schwachstellen in Apple-Betriebssystemen und gängigen Webbrowsern. Die Ausnutzung erfolgte durch einschlägig bekannte, hochkomplexe und von staatlichen Stellen eingesetzte Malware – High-End Staatstrojaner. Die Namen: Pegasus und Predator. In diesem Blogbeitrag werden wir chronologisch die letzten Kalenderwochen zusammenfassen. Die Serie begann mit einer Meldung am 7. September.

Das kanadische Citizen Lab berichtet Anfang September über eine iOS Exploit Chain, entdeckt im Mobiltelefon einer Person, die für eine zivilgesellschaftliche Organisation mit Sitz in Washington DC und mit mehreren internationalen Zweigstellen, tätig ist. Die Exploit Chain, mit dem Spitznamen „BLASTPASS“ (CVE-2023-41064 & CVE-2023-41061) versehen, wurde ohne eine einzige Aktion des Opfers (also kein Klick auf einen Phishing-Link o.ä.,) ausgeführt. Am Ende der Kompromittierungskette stand der multifunktionale Trojaner „Pegasus“, entwickelt vom israelischen Unternehmen „NSO Group“. Solche sogenannten „Zero-Click“ Exploits sind besonders gefährlich, da keine Interaktion seitens des Nutzers benötigt wird. Im konkreten Fall von BLASTPASS genügte es dem Angreifer, eine mit Schadcode versehene Bilddatei via iMessage an das Opfer zu senden.

Die Woche darauf berichtet das Voice CSCC über die Schwachstelle CVE-2023-4861. Diese betrifft die beliebten Browser Chrome und Firefox und wurde auch hier bereits gezielt von Schadakteuren mit staatlichem Hintergrund ausgenutzt. Schnell wurde klar, dass es sich auch hier um die BLASTPASS-Lücken, nur versehen mit einer separaten CVE-Nummer, handelte. Die ausgenutzte Schwachstelle befand sich in einer Bibliothek namens „libwebp“, welche von Google entwickelt wurde und in einer Vielzahl an Produkten zu finden ist - neben allen gängigen Browsern auch in Apple Geräten und Android Telefonen.

13. September 2023 – wieder berichtet das Citizen Lab, dieses Mal in Kooperation mit Access Now. Das Mobiltelefon der Journalistin Galina Timchenko soll mit der Pegasus Malware ausgespäht worden sein. Die Infektion erfolgte in der Zeitzone GMT+1 – Timchenko hielt sich in Deutschland auf. Auch hier erfolgte die Infektion des Gerätes über einen Zero-Click Exploit. Die Angreifer nutzten einen Angriff mit dem Spitznamen „PWNYOURHOME“, welcher Lücken im Apple HomeKit sowie iMessage ausnutzte.

In der Kalenderwoche 38 schließt Apple erneut drei Zero-Day-Lücken, welche bereits aktiv durch Nachrichtendienste ausgenutzt werden. Die Schwachstellen sind dieses Mal keine Zero-Click Exploits, sie erfordern also eine Interaktion des Opfers mit einem ihm zugesendeten Link. Angreifer müssen also Phishing-Kampagnen durchführen. Von einer solchen Kampagne betroffen war Ahmed Eltantawy, ein ägyptischer Oppositioneller und ehemaliges Mitglied des Parlaments. Mehrfach wurden ihm Links via SMS und WhatsApp zugesendet – hätte er auf diese Links geklickt, so wäre sein Endgerät mit der Predator Malware des Entwicklers Intellexa infiziert worden. Eltantawys Phishing-Awareness bewahrte ihn vor diesem Schicksal. Jedoch gelang es den Angreifern trotzdem, das Telefon des Oppositionspolitikers zu kompromittieren. Beim Surfen auf einer Website ohne HTTPS-Schutz wurde Eltantawy, mutmaßlich durch ein speziell für ihn bei seinem Mobilfunkanbieter installiertes Gerät, auf eine Drittwebsite umgeleitet, wo er via Drive-by Download, also Herunterladen ohne Einwilligung oder Notification, infiziert wurde. Die Umleitung schien dem Politiker verdächtig genug, um das hier bereits mehrfach erwähnte Citizenlab zu kontaktieren. Diese konnten die Infektion feststellen und den Fall öffentlich machen.

Wir befinden uns nun fast in der Gegenwart – KW39. Es ist Freitagnachmittag, vor einigen Stunden traf sich die CSCC Community für ihr wöchentliches Meeting. Diskutiert wurde unter anderem die Schwachstelle CVE-2023-5129 – eine mit einer 10 von 10 auf der CVSS-Skala gewertete Sicherheitslücke. Betroffen ist die bereits in KW37 auffällige gewordene libwebp Bibliothek. Diese ist in unzähligen Produkten integriert – neben Apple und Google sind auch diverse Linux Distributionen, die Desktop Version des Messengers Signal sowie Microsoft Teams, Slack, Skype und Discord betroffen. All dies sind sehr sensible Produkte – entweder sind sie Endgeräte, durch die Informationen fließen, oder sie sind Messenger-Dienste, die natürlich besonders interessant für Nachrichtendienste sind. Das volle Ausmaß der libwebp-Lücke wird sich in den nächsten Wochen zeigen – besonders Alarmierte warnen schon vor „Log4J 2.0“.

Die User sind diesen Exploits, insbesondere Zero-Click Exploits, meist hilflos ausgeliefert. Es hilft nur stringentes Patching von Endgeräten und Applikationen sowie höchste Vorsicht beim Erhalt von verdächtigen Medieninhalten und Hyperlinks. Nachrichtendienste der Welt haben in Exploits, wie in diesem Blogbeitragbesprochen, ihre Wunderwaffen entdeckt. Es ist nicht verwunderlich, dass russische Exploit-Broker mittlerweile bis zu 20 Millionen US Dollar für einen vollständig konzeptionierten und funktionsfähigen Zero-Click-Angriff gegen iOS bieten.

Das Voice CSCC wird seinen Mitgliedern weiterhin Lageberichte und Einschätzungen zu Sicherheitslücken zur Verfügung stellen und Ihnen gleichzeitig ein geschütztes Diskussionsforum bieten. Wenn Sie an den Leistungen des CSCC interessiert sind, dann klicken Sie hier.

Verfasser: Tobias Philipsen