Globale Koalition gegen Missbrauch kommerzieller Spionagewaresoftware
Spionageprogramme spielen eine große Rolle bei Menschenrechtsverletzungen, besonders wenn autoritäre Regierungen sie einsetzen. Das kann die Überwachung von Dissidenten, Einschüchterung von unliebsamen Bürgern, Verfolgung von Minderheiten und mehr umfassen. Länder wie Frankreich, Großbritannien, Deutschland und die USA haben nun zusammen mit Unternehmen wie Google, MDSec, Meta und Microsoft ein Abkommen unterzeichnet, um den Missbrauch solcher Programme für Menschenrechtsverletzungen zu stoppen.
Eine neue Initiative namens „Pall Mall Process“ hat zum Ziel, die Verbreitung und den unverantwortlichen Einsatz kommerzieller Cyber-Intrusionstools einzudämmen, indem sie Leitprinzipien und politische Optionen für Staaten, Industrie und Zivilgesellschaft festlegt. Die Initiative warnt vor den Risiken einer „unkontrollierten Verbreitung“ von Spionage-Software, die zu einer „ungewollten Eskalation im Cyberspace“ führt und sowohl die Cyberstabilität als auch die Menschenrechte, ebenso wie die nationale und digitale Sicherheit gefährdet.
Die britische Regierung macht auf die Folgen des Einsatzes solcher Tools aufmerksam. Sie ermöglichen es Angreifern, auf die Geräte der Opfer zuzugreifen, Anrufe abzuhören, Fotos zu erhalten und sogar Kameras und Mikrofone über „Zero-Click“-Spyware aus der Ferne zu steuern, ohne dass eine Benutzerinteraktion erforderlich ist. Laut dem National Cyber Security Centre (NCSC) sind jedes Jahr weltweit Tausende von Personen Ziel von Spyware-Kampagnen.
Der stellvertretende britische Premierminister Oliver Dowden warnte auf der britisch-französischen Konferenz über die Verbreitung von Cyberangriffen davor, dass mit dem Wachstum des kommerziellen Marktes für diese Tools auch Zahl und Schwere der Cyberangriffe zunehmen. Diese Angriffe verursachen immer teurere Schäden und erschweren es den Behörden zunehmend, öffentliche Einrichtungen und Dienste vor Cyberbedrohungen zu schützen.
Israel war nicht unter den teilnehmenden Ländern der Veranstaltung vertreten, obwohl es Heimat einer Reihe von privatwirtschaftlichen Offensivakteuren (PSOAs) und kommerziellen Überwachungsanbietern wie Candiru, Intellexa (Cytrox), NSO Group und QuaDream ist. Laut einem Bericht von Recorded Future News haben Ungarn, Mexiko, Spanien und Thailand, die in der Vergangenheit mit dem Missbrauch von Spionagesoftware in Verbindung gebracht wurden, die Verpflichtungserklärung ebenfalls nicht unterzeichnet.
Die globale Aktion von Multi-Stakeholdern für die Eindämmung des Spyware-Missbrauchs erfolgt zeitgleich mit der Ankündigung des US-Außenministeriums, dass Personen, die in den Missbrauch gefährlicher Spionagesoftware verwickelt sind, keine Visa mehr erhalten werden.
Änderung der Anreizstruktur
Google äußerte sich dazu und betonte, dass der Mangel an Verantwortungsbewusstsein der Spionagesoftware-Industrie ermöglicht hat, gefährliche Überwachungswerkzeuge weltweit zu verbreiten. Die Einschränkung ihrer Operationen in den USA soll dazu beitragen, die Anreizstruktur zu ändern, die ihr Wachstum ermöglicht hat.
Spionageprogramme wie Chrysaor und Pegasus werden einerseits an Regierungen für die Strafverfolgung und Terrorismusbekämpfung lizenziert, andererseits werden sie jedoch auch regelmäßig von repressiven Regimen missbraucht, um Journalisten, Aktivisten, Anwälte, Menschenrechtsverteidiger, Dissidenten und politische Gegner zu überwachen. Die Angreifer nutzen oft Zero-Click- (oder One-Click-) Exploits, um heimlich Überwachungssoftware auf die Google-Android- und Apple-iOS-Geräte der Zielpersonen zu laden und sensible Informationen abzugreifen.
Die bisherigen Bemühungen, das Spyware-Ökosystem zu bekämpfen und einzudämmen, glichen einer Serie von Schnellschüssen. Das unterstreicht die Herausforderung, sich gegen immer wieder auftauchende und weniger bekannte Akteure zu verteidigen, die ähnliche Cyberwaffen anbieten oder entwickeln. Das Da gilt auch für die Tatsache, dass CSVs weiterhin Anstrengungen unternehmen, um neue Exploit-Ketten zu entwickeln, während Unternehmen wie Apple, Google und andere die Zero-Day-Schwachstellen entdecken und schließen.
„Solange es eine Nachfrage nach Überwachungsfunktionen gibt, besteht für die CSVs ein Anreiz, weiterhin Tools zu entwickeln und zu verkaufen und eine Industrie zu betreiben, die Nutzern mit hohem Risiko und der Gesellschaft insgesamt schadet“, so die Threat Analysis Group (TAG) von Google.
40 kommerzielle Spyware-Unternehmen
Ein ausführlicher Bericht, der kürzlich von TAG veröffentlicht wurde, zeigt, dass etwa 40 kommerzielle Spyware-Unternehmen von Google verfolgt werden. Diese Firmen verkaufen ihre Produkte an Regierungsbehörden. In den letzten zehn Jahren wurden 11 dieser Unternehmen mit der Nutzung von insgesamt 74 Zero-Day-Sicherheitslücken in verschiedenen Softwareprodukten wie Google Chrome, Android, iOS, Windows, Adobe und Mozilla Firefox in Verbindung gebracht.
Ein Beispiel dafür ist eine Kampagne, die im letzten Jahr entdeckt wurde. Dabei wurden drei Schwachstellen in iOS (CVE-2023-28205, CVE-2023-28206 und CVE-2023-32409) als Zero-Day ausgenutzt, um Opfer mit Spyware zu infizieren. Diese Spyware wurde von der Firma Variston mit Sitz in Barcelona entwickelt. Die Schwachstellen wurden von Apple im April und Mai 2023 behoben. Die Kampagne, die im März 2023 entdeckt wurde, versandte einen Link per SMS und zielte auf iPhones in Indonesien ab, die die iOS-Versionen 16.3.0 und 16.3.1 ausführten. Das Ziel war es, das BridgeHead-Spyware-Implantat über das Heliconia-Exploitation-Framework zu installieren. Eine weitere von Variston genutzte Waffe ist eine hochgradige Sicherheitslücke in Qualcomm-Chips (CVE-2023-33063), die erstmals im Oktober 2023 bekannt wurde.
Ein Vertreter des Technologieunternehmens sagte, dass es zwar schon lange private Unternehmen gibt, die Sicherheitslücken identifizieren und handeln, aber das Auftauchen von vorgefertigten Spionage-Lösungen etwas Neues ist. Er führte weiter aus, dass Spyware-Anbieter über umfassendes technisches Fachwissen verfügen, um sogenannte „Pay-to-Play“-Tools anzubieten. Diese Tools enthalten eine Exploit-Kette, die entwickelt wurde, um die Sicherheitsvorkehrungen eines spezifischen Geräts zu umgehen, sowie die entsprechende Spionagesoftware und die erforderliche Infrastruktur. All dies dient dem Zweck, die gewünschten Daten von einem individuellen Gerät abzugreifen.