In diesem Jahr wurden die Telefone eines serbischen Journalisten und Aktivisten von örtlichen Behörden mit einem Handy-Entsperrgerät des forensischen Werkzeugherstellers Cellebrite gehackt. Das Ziel der Behörden bestand nicht nur darin, Telefone zu entsperren, um auf ihre persönlichen Daten zuzugreifen, wie es Cellebrite zulässt, sondern auch darin, Spyware zu installieren, um eine stärkere Überwachung zu ermöglichen. laut einem neuen Bericht von Amnesty International.
Amnesty sagte in seinem Bericht, dass es sich seiner Meinung nach um „die ersten forensisch dokumentierten Spyware-Infektionen handelt, die durch den Einsatz“ von Cellebrite-Tools ermöglicht werden.
Diese rudimentäre, aber effektive Technik ist eine der vielen Möglichkeiten, mit denen Regierungen Spyware zur Überwachung ihrer Bürger einsetzen. Im letzten Jahrzehnt haben Organisationen wie Amnesty und die Gruppe für digitale Rechte Citizen Lab Dutzende Fälle dokumentiert, in denen Regierungen fortschrittliche Spyware westlicher Überwachungstechnologieanbieter wie z NSO-Gruppe, Intellexaund der inzwischen verstorbene Spyware-Pionier Hacker-Teamunter anderem, um Dissidenten, Journalisten und politische Gegner aus der Ferne zu hacken.
Nun, wie Zero-Day- und ferngesteuerte Spyware teurer werden dank SicherheitsverbesserungenMöglicherweise müssen sich die Behörden eher auf weniger ausgefeilte Methoden verlassen, wie zum Beispiel, die Telefone, die sie hacken wollen, physisch in die Hände zu bekommen.
Obwohl es weltweit viele Fälle von Spyware-Missbrauch gibt, gibt es keine Garantie dafür, dass dies in den Vereinigten Staaten nicht passieren kann oder wird. Im November, Forbes berichtete dass die Einwanderungs- und Zollbehörde (ICE) des Heimatschutzministeriums 20 Millionen US-Dollar für den Erwerb von Hacking- und Telefonüberwachungstools ausgegeben hat, darunter Cellebrite. Angesichts der versprochenen Massenabschiebungskampagne des gewählten Präsidenten Donald Trump: Wie Forbes Berichten zufolge befürchten Experten, dass die ICE ihre Spionageaktivitäten verstärken wird, wenn die neue Regierung die Kontrolle über das Weiße Haus übernimmt.
Eine kurze Geschichte der frühen Spyware
Die Geschichte neigt dazu, sich zu wiederholen. Selbst wenn etwas Neues (oder Undokumentiertes) zum ersten Mal auftaucht, ist es möglich, dass es sich tatsächlich um eine Wiederholung von etwas handelt, das bereits geschehen ist.
Vor zwanzig Jahren, als es staatliche Spyware gab, in der Antiviren-Branche, deren Aufgabe es war, sich dagegen zu verteidigen, jedoch wenig bekannt war, konnten Strafverfolgungsbeamte auf deren Kommunikation zugreifen, indem sie Spyware physisch auf den Computer eines Ziels schleusten. Die Behörden mussten sich physischen Zugriff auf das Gerät der Zielperson verschaffen – manchmal auch durch einen Einbruch in deren Wohnung oder Büro – und dann die Spyware manuell installieren.
Kontaktieren Sie uns
Haben Sie weitere Informationen über staatliche Spyware und ihre Ersteller? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder kontaktieren E-Mail. Sie können TechCrunch auch über kontaktieren SecureDrop.
Aus diesem Grund waren beispielsweise die ersten Versionen der Spyware von Hacking Team aus der Mitte der 2000er Jahre so konzipiert, dass sie über einen USB-Stick oder eine CD gestartet werden konnten. Noch früher, im Jahr 2001, Das FBI durchsuchte das Büro des Gangsters Nicodemo Scarfo Spyware einzuschleusen, die überwachen soll, was Scarfo auf seiner Tastatur tippt, mit dem Ziel, den Schlüssel zu stehlen, mit dem er seine E-Mails verschlüsselt hat.
Diese Techniken erfreuen sich wieder wachsender Beliebtheit, wenn nicht sogar aus Notwendigkeit.
Citizen Lab dokumentierte Anfang 2024 einen Fall, in dem Der russische Geheimdienst FSB soll Spyware auf dem Telefon des russischen Staatsbürgers Kirill Parubets installiert habenein oppositioneller politischer Aktivist, der seit 2022 während seiner Haft in der Ukraine lebte. Die russischen Behörden zwangen Parabuts, das Passwort seines Telefons preiszugeben, bevor sie Spyware einschlugen, die auf seine privaten Daten zugreifen konnte.
Halten Sie an und suchen Sie
In den jüngsten Fällen in Serbien hat Amnesty neue Spyware auf den Telefonen des Journalisten Slaviša Milanov und des jungen Aktivisten Nikola Ristić entdeckt.
Im Februar 2024 nahm die örtliche Polizei Milanov wegen einer scheinbar routinemäßigen Verkehrskontrolle fest. Später wurde er zu einer Polizeiwache gebracht, wo Beamte laut Amnesty sein Android-Handy, ein Xiaomi Redmi Note 10S, mitnahmen, während er verhört wurde.
Als Milanov es fand, sagte er, er habe etwas Seltsames gefunden.
„Mir ist aufgefallen, dass meine mobilen Daten (Datenübertragung) und WLAN ausgeschaltet sind. Die mobile Daten-App auf meinem Telefon ist immer aktiv. „Das war der erste Verdacht, dass jemand in mein Handy eingedrungen ist“, sagte Milanov kürzlich in einem Interview mit TechCrunch.
Milanov sagte, er habe es dann benutzt Bleib freiSoftware, die verfolgt, wie lange jemand seine Apps nutzt, und stellte fest, dass „viele Apps aktiv waren“, während das Telefon angeblich ausgeschaltet und in den Händen der Polizei war, die ihn seiner Aussage nach nie aufgefordert oder gezwungen hatte, das Passwort seines Telefons preiszugeben.
„Es zeigte sich, dass im Zeitraum von 11:54 bis 13:08 Uhr hauptsächlich die Anwendungen „Einstellungen“, „Sicherheit“ und „Dateimanager“ aktiviert waren, außerdem Google Play Store, Rekorder, Galerie und Kontakt, was mit der Zeit zusammenfällt, als die … „Das Telefon war nicht bei mir“, sagte Milanov.
„In diesem Zeitraum haben sie 1,6 GB Daten von meinem Handy extrahiert“, sagte er.
Zu diesem Zeitpunkt sei Milanov „unangenehm überrascht und sehr wütend“ gewesen und habe ein „ungutes Gefühl“, dass seine Privatsphäre gefährdet sei. Er kontaktierte Amnesty, um sein Telefon forensisch überprüfen zu lassen.
Donncha Ó Cearbhaill, Leiter des Sicherheitslabors von Amnesty, analysierte Milanovs Telefon und stellte fest, dass es mit Cellebrite entsperrt worden war und Android-Spyware installiert hatte, die Amnesty NoviSpy nennt, vom serbischen Wort für „neu“.
Spyware wird in der Zivilgesellschaft wahrscheinlich „weit verbreitet“ eingesetzt
Amnestys Analyse der NoviSpy-Spyware und einer Reihe von Betriebssicherheitsfehlern (OPSEC) weist darauf hin, dass der serbische Geheimdienst der Urheber der Spyware ist.
Dem Amnesty-Bericht zufolge wurde Spyware eingesetzt, um „mobile Geräte systematisch und heimlich während der Festnahme, Inhaftierung oder in einigen Fällen während Informationsinterviews mit Mitgliedern der Zivilgesellschaft zu infizieren“. „In mehreren Fällen scheinen die Verhaftungen oder Inhaftierungen geplant worden zu sein, um verdeckten Zugriff auf das Gerät einer Person zu ermöglichen, um Daten zu extrahieren oder das Gerät zu infizieren“, so Amnesty.
Amnesty geht davon aus, dass NoviSpy wahrscheinlich im Land entwickelt wurde, wenn man bedenkt, dass der Code serbischsprachige Kommentare und Zeichenfolgen enthält und dass NoviSpy für die Kommunikation mit Servern in Serbien programmiert wurde.
Ein Fehler der serbischen Behörden ermöglichte es den Ermittlern von Amnesty, NoviSpy mit dem serbischen Geheimdienst, bekannt als Bezbedonosno-información Agencija (BIA), und einem seiner Server in Verbindung zu bringen.
Bei der Analyse stellten Amnesty-Forscher fest, dass NoviSpy für die Kommunikation mit einer bestimmten IP-Adresse konzipiert war: 195.178.51.251.
Im Jahr 2015 wurde dieselbe IP-Adresse mit einem serbischen BIA-Agenten verknüpft. Im Moment, Citizen Lab hat diese spezielle IP-Adresse entdeckt identifizierte sich als „DPRODAN-PC“ auf Shodan, einer Suchmaschine, die Server und Computer auflistet, die dem Internet ausgesetzt sind. Es stellt sich heraus, dass eine Person mit einer E-Mail-Adresse, die „dprodan“ enthält, war in Kontakt mit dem Spyware-Hersteller Hacking Team über eine Demonstration im Februar 2012. Laut durchgesickerten E-Mails von Hacking Team veranstalteten die Mitarbeiter des Unternehmens um diesen Tag eine Demonstration in der serbischen Hauptstadt Belgrad, was Citizen Lab zu dem Schluss veranlasste, dass „dprodan“ ebenfalls ein serbisches BIA ist . Mitarbeiter.
Derselbe IP-Adressbereich, der 2015 von Citizen Lab identifiziert wurde (195.178.51.xxx), ist nach Angaben von Amnesty immer noch mit der BIA verbunden. Amnesty erklärte, man habe herausgefunden, dass die öffentliche Website der BIA kürzlich in diesem IP-Bereich gehostet wurde.
Amnesty sagte, es habe forensische Analysen von zwei Dutzend Mitgliedern der serbischen Zivilgesellschaft durchgeführt, die meisten davon Android-Nutzer, und weitere mit NoviSpy infizierte Personen gefunden. Laut Amnesty deuten einige im Spyware-Code enthaltene Hinweise darauf hin, dass die BIA und die serbische Polizei ihn in großem Umfang genutzt haben.
Das BIA und das serbische Innenministerium, das die serbische Polizei beaufsichtigt, antworteten nicht auf die Bitte von TechCrunch um einen Kommentar.
Der Code von NoviSpy enthält möglicherweise eine steigende Benutzer-ID, die nach Ansicht von Amnesty-Forschern bei einem Opfer 621 betrug. Bei einem anderen Opfer, das etwa einen Monat später infiziert wurde, lag diese Zahl über 640, was darauf hindeutet, dass die Behörden mehr infiziert hatten als zwanzig Menschen in dieser Zeit. Amnesty-Forscher sagten, sie hätten auf VirusTotal, einem Online-Repository für Malware-Scans, eine Version von NoviSpy aus dem Jahr 2018 gefunden, was darauf hindeutet, dass die Malware vor mehreren Jahren entwickelt wurde.
Im Rahmen seiner Untersuchung der in Serbien eingesetzten Spyware identifizierte Amnesty auch einen Zero-Day-Exploit in Qualcomm-Chipsätzen, der gegen das Gerät eines serbischen Aktivisten eingesetzt wurde, wahrscheinlich unter Verwendung von Cellebrite. Qualcomm gab im Oktober bekannt, dass die Schwachstelle behoben wurde nach der Entdeckung von Amnesty.
Als er um einen Kommentar gebeten wurde, sagte Cellebrite-Sprecher Victor Cooper, dass die Tools des Unternehmens nicht zur Installation von Malware verwendet werden könnten, „das müsste ein Dritter tun“.
Ein Cellebrite-Sprecher lehnte es ab, Einzelheiten zu seinen Kunden zu nennen, fügte jedoch hinzu, dass das Unternehmen „weitere Untersuchungen“ durchführen werde. Das Unternehmen sagte, wenn Serbien gegen seine Endverbrauchervereinbarung verstoße, werde das Unternehmen „neu bewerten, ob es eines der 100 Länder ist, mit denen wir Geschäfte machen“.
