Spionagesoftware Pegasus nutzte bei letzten Angriffen auf zivilgesellschaftliche Ziele neuartige Exploits

Die berühmt-berüchtigte Spionagesoftware Pegasus der NSO Group sorgt erneut für Schlagzeilen: Sicherheitforscher haben neue Beweise dafür gefunden, dass die israelische Cyberwaffe im Jahr 2022 für gezielte Angriffe eingesetzt wurde.

Nur wenige Tage, nachdem sie eine weniger aufsehenerregende Spyware-Operation aufgedeckt hatten, veröffentlichte das Citizen Lab der Universität Toronto Details über neu entdeckte Spyware-Infektionen aus dem Jahr 2022, bei denen offenbar das Pegasus-Programm der NSO Group zum Einsatz gekommen ist.

Demnach geht das Citizen Lab, das sich schon in der Vergangenheit durch seine Recherchen über Bedrohungen gegen zivilgesellschaftliche Organisationen hervorgetan hat, davon aus, dass die NSO Group im Jahr 2022 erneut zugeschlagen hat. Sie hätte eine aktualisierte Version der Pegasus-Spionagesoftware verkauft, die mit neuartigen Angriffsmethoden zur Ausnutzung von Sicherheitslücken unter anderem in den Apple-Betriebssystemen iOS 15 und iOS 16 ausgestattet war.

Der Exploit: Zwei Phasen, Zero Clicks

Ein von den Forschern PWNYOURHOME genannter Exploit nutzt zwei Angriffsvektoren, um das Gerät zu infizieren, ohne dass dafür eine Interaktion des Opfers erforderlich ist (Zero-Click). Der erste Schritt richtet sich gegen das HomeKit-Framework von Apple, der zweite gegen iMessage, einem Instant-Messaging-Dienst von Apple.

FINDMYPWN, ein nahezu identischer Angriffsweg, setzte laut der Analyse an der „Wo ist“-Funktion des iPhones an, ebenfalls gekoppelt mit einer iMessage-Nebenkomponente, um den eigentliche Schadcode der Spyware auszuführen.

Ein dritter Exploit mit der Bezeichnung LATENTIMAGE nutzt wieder eine andere Exploit-Kette und wurde mutmaßlich verwendet, um Pegasus auf dem iPhone mindestens eines Opfers einzuschleusen.

Mit Hilfe von Menschenrechtsaktivisten in Mexiko erhielten die Forscher forensischen Einblick in die jüngsten Machenschaften der NSO Group. Der Fund erfolgte, nachdem auf den Geräten von Vertretern der mexikanischen Zivilgesellschaft Infektionen festgestellt wurden, darunter zwei Menschenrechtsaktivisten des Centro PRODH, das Opfer militärischer Gewalt in Mexiko vertritt.

Die Untersuchungen ließen laut Citizen Lab den Schluss zu, dass Kunden der NSO Group im Jahr 2022 mindestens drei Zero-Click-Exploit-Ketten für iOS 15 und iOS 16 gegen zivilgesellschaftliche Ziele auf der ganzen Welt eingesetzt hätten.

Während seiner Untersuchungen stand das Team von Citizen Lab im ständigen Austausch mit Apple und half dabei, die Sicherheitlücken in den betroffenen iOS-Versionen zu patchen, bevor die Erkenntnisse öffentlich gemacht wurden. Im Zuge dieser Bemühungen wurden im Februar dieses Jahres mit iOS 16.3.1 mehrere Sicherheitsverbesserungen veröffentlicht, die dem PWNYOURHOME-Exploit einen Riegel vorschieben.

Lockdown-Modus zeigt Wirkung

In seinem Kampf gegen Spyware hat Apple nicht nur die NSO Group wegen ihrer Praktiken verklagt, sondern auch einen Lockdown-Modus entwickelt, um die Angriffsfläche auf iOS zu verringern (wenn auch auf Kosten einiger Funktionen.).

Laut Citizen Lab deutet alles darauf hin, dass der Lockdown-Modusseinen Zweck erfüllt. Eine aus Screenshots von Opfern abgeleitete Grafik (siehe unten) zeigt Benachrichtigungen, die im Zusammenhang mit dem Exploit PWNYOURHOME bei versuchten Angriffen angezeigt werden.

Quelle: citizenlab.ca

Auf seiner Website rät das Citizen Lab allen gefährdeten Benutzern, den Lockdown-Modus auf ihren Apple-Geräten zu aktivieren. Zwar gehe die Funktion auch zulasten der Benutzerfreundlichkeit, man sei jedoch überzeugt, dass es das wert sein, weil man Angreifern das Leben schwer mache.

PWNYOURHOME und FINDMYPWN sind die ersten Zero-Click-Exploits, die zwei unterschiedliche Remote-Angriffsvektoren auf dem iPhone nutzen. Das Team von Citizen Lab hofft, dass seine Erkenntnisse Entwickler dazu ermutigen wird, „ganzheitlich über Gerätesicherheit nachzudenken und die gesamte Oberfläche, die über eine einzelne Kennung erreichbar ist, als eine einzige Oberfläche zu behandeln“.

Wir von Bitdefender empfehlen dringend, die neuesten Sicherheitsupdates für Geräte und Betriebssysteme immer so schnell wie möglich zu installieren. Darüber hinaus sollten iPhone- ebenso wie Android-Nutzer den Einsatz einer Sicherheitslösung in Betracht ziehen, um sich vor Bedrohungen aus dem Internet zu schützen.