Ein Programmierer sagte, der russische Föderale Sicherheitsdienst (FSB) habe Spyware auf seinem Android-Telefon installiert, nachdem er Anfang des Jahres in Moskau festgenommen worden sei. Sicherheitsforscher bestätigten, dass auf seinem Telefon Spyware installiert war, wahrscheinlich als sich die Behörden physischen Zugriff auf sein Telefon verschafften und ihn zwangen, sein Passwort preiszugeben.
Für den Programmierer Kirill Parubets war es eine schreckliche und traumatische Tortur. Aber dank seiner Erfahrung und Computer-Wachsamkeit bietet seine Geschichte einen seltenen Bericht aus erster Hand darüber, wie russische Behörden einem ihrer Bürger Spyware implantierten – nicht durch einen technisch fortschrittlichen Remote-Hacking-Angriff, sondern mit einem groberen Ansatz.
Parubets ist ein russischer Systemanalytiker, der ukrainische Wurzeln hat, sich selbst als „oppositionellen politischen Aktivisten“ bezeichnet und seit 2020 in der Ukraine lebt. Parubets sagt, er habe sich freiwillig gemeldet und den Ukrainern nach der groß angelegten Invasion Russlands finanzielle und humanitäre Hilfe geleistet im Jahr 2022.
Parubets sagte, er und seine Frau reisten 2023 nach Russland zurück, um einige Dokumente zu bearbeiten, während sie gleichzeitig versuchten, die moldauische Staatsbürgerschaft zu erhalten, die ihnen den Verbleib in der Ukraine ermöglicht hätte.
Am 18. April 2024 überfielen sechs mit Maschinengewehren bewaffnete FSB-Agenten gegen 6:30 Uhr morgens die Wohnung von Parubets und seiner Frau in Moskau. „Sie warfen uns auf den Boden, zerrten meine Frau in ein kleines Zimmer, ich lag im Flur. Sie ließen uns nicht anziehen“, heißt es in seinen Erinnerungen an die Ereignisse, die Parubets in einem Dokument schrieb, das er TechCrunch mitteilte.
Die Agenten fragten ihn nach Geldtransfers an Ukrainer sowie nach einem Freund von Parubets, den er mit dem Spitznamen Ivan Ivanov nennt. (Parubets sagt, er habe Ivans Namen geändert, um ihn zu schützen.)
„Wie lautet dein verdammtes Passwort?“ fragte einer der Agenten Parubets, als sie sein Android-Telefon abholten, nach seiner Erinnerung an die Ereignisse. Eingeschüchtert sagte Parubets, er habe sein Passwort preisgegeben.
Am selben Tag sagte Parubets, er und seine Frau seien verhaftet und zu 15 Tagen Verwaltungsarrest verurteilt worden. Während seiner Haft, in der er nach eigenen Angaben auch geschlagen wurde, besuchten ihn FSB-Beamte laut Parubets und befragten ihn zu seinen ehrenamtlichen Aktivitäten und Spenden in der Ukraine sowie zu den Spenden, die er im Namen seines Freundes Iwanow tätigte und die ihrer Meinung nach geheim gehalten werden könnten wie Verrat. Dann baten ihn die FSB-Beamten laut Parubets, Iwanow auszuspionieren, der ihrer Meinung nach mit den ukrainischen Sonderdiensten kommuniziert hatte.
„Sie drohten mir und sagten, sie würden mich und meine Frau lebenslang ins Gefängnis stecken, wenn ich ihnen keine Hilfe leiste“, sagte Parubets.
Aus diesem Grund sagte Parubets, er habe beschlossen, den Agenten zu sagen, dass er bereit sei, ihnen zu helfen, obwohl er dies eigentlich nicht vorhatte.
Dann, am 3. Mai, sagte Parubets, er und seine Frau seien freigelassen worden und er sei losgegangen, um seine Habseligkeiten, einschließlich seines Android-Telefons, zurückzuholen. Parubets sagte, er habe kurz darauf eine seltsame Benachrichtigung mit der Aufschrift „Arm Cortex vx3 Sync“ bemerkt, die daraufhin verschwand und das Telefon neu startete.
Zu diesem Zeitpunkt sagte Parubets, der sich für Cybersicherheit interessiert, er habe sein Telefon inspiziert und eine verdächtige App gefunden, die über mehrere Berechtigungen verfügte, die Zugriff auf eine Fülle persönlicher Daten auf dem Telefon ermöglichten. Zu diesem Zeitpunkt sagte Parubets, er suche Erste Abteilungeine Rechtshilfeorganisation. Die Organisation kontaktierte wiederum Citizen Lab, ein Forschungs- und Überwachungsunternehmen für Internetsicherheit an der Universität Toronto, um die verdächtige App zu analysieren.
Laut einem neuen Bericht von Citizen Lab Die am Donnerstag veröffentlichte und von Cooper Quintin, Rebekah Brown und John Scott-Railton verfasste App war in Wirklichkeit Spyware.
Die Forscher sagten, die von Parubets identifizierte verdächtige App scheine „eine trojanisierte Version der echten Cube Call Recorder-App“ zu sein, einer legitimen Anrufaufzeichnungs-App.
Dem Bericht zufolge konnte die gefälschte App auf Standortinformationen zugreifen, Textnachrichten lesen und senden, andere Apps installieren, den Kalender lesen, Screenshots machen und von der Videokamera aufzeichnen, eine Liste anderer Apps anzeigen, Anrufe entgegennehmen und Benutzer anzeigen Kontodetails – alle Berechtigungen, die der echte Cube Call Recorder nicht hat.
Die Entwickler von Cube Call Recorder antworteten nicht auf eine Bitte um einen Kommentar.
Technische Experten der Ersten Abteilung sowie von Citizen Lab glauben, dass es sich bei der Spyware um eine neue Version einer Malware namens Monokle handelt, basierend auf mehreren Ähnlichkeiten, die die gegen Parubets eingesetzte Spyware mit einer früheren Version der Malware aufweist. Monokel wurde 2019 vom Cybersicherheitsunternehmen Lookout analysiert. Damals kam Lookout zu dem Schluss, dass Monokle vom Special Technology Center entwickelt wurde, einem St. Petersburger Unternehmen, das von der genehmigt wurde die US-Regierung Und andere Länder für die technische Unterstützung der russischen Regierung bei ihren Spionageaktivitäten.
Die russische Botschaft in Washington DC sowie das Pressebüro der russischen Regierung antworteten nicht auf eine Bitte um Stellungnahme. Das gilt auch für das sanktionierte Special Technology Center.
Für Quintin, einen der Forscher, die die Malware analysiert haben, wurde diese Malware, gemessen an den Funktionalitäten der auf Parubets‘ Telefon gefundenen Spyware und der von Lookout analysierten Vorgängerversion, „über mehrere Jahre hinweg professionell erstellt“.
Quintin sagte, Parubets Geschichte sei eine Erinnerung daran, dass Spyware-Angriffe nicht aus der Ferne ausgeführt werden müssen, wie es beispielsweise mit der Spyware der NSO Group geschieht.
„Die Leute verbringen viel Zeit damit, über Zero-Click-Exploits und Zero-Day-Angriffe nachzudenken, vergessen dabei aber oft, dass jemand mit physischem Zugriff auf Ihr Telefon, der Sie mit Gewalt oder der Androhung von Gewalt dazu zwingen kann, es zu entsperren, genauso wahrscheinlich ist.“ einen Angriff begehen. Risiko“, sagte Quintin gegenüber TechCrunch.
In dem Bericht kamen Quintin und seine Kollegen zu dem Schluss, dass „jeder, dessen Gerät von einem Sicherheitsdienst beschlagnahmt wurde, davon ausgehen sollte, dass das Gerät nicht mehr vertrauenswürdig ist.“
Dmitry Zair-Bek, Leiter des Menschenrechtsprojekts der Ersten Abteilung, appellierte an die russische Regierung und warnte, dass das, was Parubets passiert ist, auch anderen passieren könnte.
„Wir haben erwartet, dass etwas Ähnliches wie im Fall Kirill Parubets passieren könnte, nur weil dies perfekt mit der Logik der russischen Geheimdienste übereinstimmt. Das Ausmaß des Vorgehens ist wirklich beängstigend, und ein wichtiger Punkt ist, dass es keine „roten Linien“ mehr gibt als erlaubt“, sagte Zair-Bek gegenüber TechCrunch. „Neben den Ukrainern gehören auch Bürger westlicher Länder, die Russland besuchen, zu einer besonders gefährdeten Gruppe. Sie sind ein verlockendes Ziel für die Rekrutierung und mögliche Geiselnahme.“
Nach seiner Freilassung sagte Parubets, er und seine Frau hätten Russland verlassen. Ironischerweise könnte ihm sein mit Spyware verseuchtes Telefon bei der Flucht geholfen haben, da er es in Moskau zurückließ.
„Ich musste so tun, als wäre ich noch in Moskau“, sagte Parubets. „Um etwas Zeit zu gewinnen.“
