Gefährlicher iPhone Zero-Day-Exploit, der von Regierungs-Hackern verwendet wurde, jetzt von Apple gepatcht

Wenn es um Privatsphäre geht, waren Regierungsbehörden nicht immer auf der richtigen Seite des Gesetzes, und genau aus diesem Grund hatten die Snowden-Enthüllungen so einen großen Einfluss. Am 10. August erhielt Ahmed Mansoor, ein Menschenrechtsaktivist aus den VAE, eine seltsame Nachricht von einer unbekannten Nummer auf seinem iPhone. Die Nachricht kam mit einem ziemlich Clickbait-Hyperlink, der lautete: „Neue Geheimnisse über die Folter von Emiratis in staatlichen Gefängnissen.“

Mansoor war zuvor ein Opfer von Regierungs-Hackern, die kommerziell erhältliche Produkte verwendeten, und dieser Link machte ihn nur noch misstrauischer. Der Aktivist leitete die Nachricht an einen Forscher im Citizen Lab namens Bill Marczak weiter. Nach einer eingehenden Untersuchung wurde weiter festgestellt, dass Mansoor’s Verdacht richtig war. Die Nachricht war nichts anderes als eine Tarnung, die eine ausgeklügelte Malware als Payload trug. Die Malware war in der Tat eine dreifache Bedrohung, die drei verschiedene Schwachstellen in Apples iOS ausnutzte, die der Welt unbekannt waren (jetzt gepatcht).

Berichte von Citizen Lab und der mobilen Sicherheitsfirma Lookout bestätigten, dass der Angreifer vollständigen Zugriff auf Mansoor’s iPhone erhalten hätte, wenn er den Link geöffnet hätte. Die Sicherheitsfirmen sagten weiter, dass die Malware „eines der ausgeklügeltsten Stücke von Cyber-Spionagesoftware ist, die wir je gesehen haben.“ Verwechseln Sie nicht, das Ausnutzen von Zero-Days oder unbekannten Bugs im iPhone kann nicht das Werk eines Hinterhof-Hackers sein. Wir müssen erkennen, dass Werkzeuge im Wert von bis zu einer Million Dollar bei diesem Angriff instrumental waren, der das entfernte Jailbreaking eines iPhones umfasst.

Die Cyberkriminellen haben sich als organisiertes Syndikat ausgegeben, und es wurde auch zuvor enthüllt, dass Anbieter Ransomware als Dienstleistung anbieten, genau wie Software als Dienstleistung (SaaS). Zurückkommend, das Unternehmen (sicher, es als eines zu bezeichnen), das den Zero-Day-Exploit an die Hacker geliefert hat, ist eine wenig bekannte Überwachungsfirma mit Sitz in Israel namens NSO Group.

NSO ist berüchtigt dafür, ausgeklügelte Malware an Regierungen zu liefern, die die Smartphones ihrer Opfer ins Visier nehmen, während sie hinter verschlossenen Türen bleiben. Angesichts der Natur ihres Geschäfts war das Unternehmen größtenteils im Stealth-Modus, aber laut kürzlich durchgesickerten Informationen wurde es mit 120 Millionen Dollar bei einer Bewertung von 1 Milliarde Dollar finanziert, was erneut große Geldsummen, die den Besitzer wechseln, weitere Probleme für zukünftige Exploits bedeutet.

Mike Murray, Vizepräsident von Lookout, war über den gesamten Vorfall ziemlich aufgeregt, und so beschreibt er die Malware in seinen eigenen Worten: „Es stiehlt im Grunde alle Informationen auf Ihrem Telefon, es unterbricht jeden Anruf, es unterbricht jede SMS, es stiehlt alle E-Mails, die Kontakte, die FaceTime-Anrufe. Es hat auch im Grunde jede Kommunikationsmethode, die Sie auf dem Telefon haben, einen Hintereingang.“ Er fügte weiter hinzu, dass „es alle Informationen in der Gmail-App stiehlt, alle Facebook-Nachrichten, alle Facebook-Informationen, Ihre Facebook-Kontakte, alles von Skype, WhatsApp, Viber, WeChat, Telegram – Sie nennen es.“

Die Forscher verwendeten ihr DemoiPhone, um herauszufinden, wie die Malware das Gerät infizierte. Auch die deprimierenden Maßnahmen, die von den Regierungsbehörden ergriffen wurden, zeigen die Art von Informationen, die Journalisten, Aktivisten und Dissidenten schützen. Oft sind es diese Menschen, die heute der Bedrohung ausgesetzt sind, aber in naher Zukunft könnten es auch gewöhnliche Bürger wie Sie und ich sein.

Die Spur

Wie NSO gefasst wurde, kann durch eine Kette von Ereignissen erklärt werden, die weiter verbreiten, wie die Malware entworfen wurde. Bis zum 10. August konnten die Forscher keine Proben der Malware finden, die die Hacker verwendeten, bis Mansoor sie zu ihr führte. Nach der Untersuchung des Links erkannten sie, dass die Spyware mit einem Server und einer IP-Adresse kommunizierte, die sie glücklicherweise in der Vergangenheit identifiziert hatten. Was ihnen weiter half, war, dass ein anderer Server, der einem NSO-Mitarbeiter zugeordnet war, auf dieselbe IP-Adresse hinwies.

Die Dinge wurden klarer, als die Forscher die Codezeile in der tatsächlichen Malware sahen, die „PegasusProtocol“ lautete, was sofort mit dem Codenamen der NSO-Spyware, Pegasus, verknüpft wurde. Die NSO wurde von der Wall Street Journal profiliert, und in der eher kurzen Beschreibung gab das Unternehmen bekannt, dass sie ihre Waren an die mexikanische Regierung verkauft hatten und sogar einige Aufmerksamkeit von der CIA auf sich zogen. Da Apple die Schwachstelle bereits gepatcht hat, wurden die betreffenden Zero-Days beseitigt. Das gesagt, wäre es sicher anzunehmen, dass die NSO möglicherweise immer noch mit einigen von diesen bewaffnet ist und die aktuelle Enthüllung nichts ist, was ihre Operationen ruinieren würde.

Apple-Patch

Apples Patch ist in iOS 9.3.5 gebündelt, und iOS-Nutzer werden aufgefordert, ihre Geräte sofort zu aktualisieren. Dan Guido, der CEO der Cybersicherheitsfirma, sagt, dass solche Angriffe selten ans Licht kommen und fast nie in der „Wildnis“ gefangen werden. Mexiko scheint der beste Kunde der Hackerteams weltweit zu sein, und Organisationen wie NSO bringen es einfach auf die nächste Stufe.

Opfer und Versuche

https://twitter.com/raflescabrera/status/638057388180803584?ref_src=twsrc%5Etfw

Mansoor ist nicht das einzige Opfer dieser Spyware, und zuvor war es ein mexikanischer Journalist, Rafael Cabrera, der ähnliche Nachrichten erhielt. Wie bei Mansoor kamen auch die an Rafael gesendeten Nachrichten mit Clickbait-Überschriften. Sowohl Mansoor als auch Rafael scheinen dem Angriff entkommen zu sein, da sie es gewohnt sind, über ihre Schultern zu schauen, eine Eigenschaft, die die meisten von uns nicht haben. Um abzuschließen, scheint vollständige Privatsphäre ein Mythos zu sein, und es ist fast unmöglich, sich vor solchen Angriffen zu schützen. Während der Smartphone-Hersteller möglicherweise mehr Mittel bereitstellt, um ihre Telefone sicher zu machen, wird auch die Nachfrage nach Cyberwaffen steigen. Wir hoffen nur, dass Forscher von Firmen wie Citizen Labs auf der Hut sind, um solche Hacks aufzudecken und eine Art Wiederaufleben zu etablieren.