So schützen Sie sich vor Pegasus, Chrysaor und anderer mobiler APT-Malware

Einer der womöglich größten Skandale 2021: Eine im Juli veröffentlichte Untersuchung des The Guardian und 16 anderer Medienorganisationen deutet darauf hin, dass über 30.000 Menschenrechtsaktivisten, Journalisten und Anwälte weltweit der Schadsoftware Pegasus zum Opfer gefallen sein könnten. Pegasus ist eine sogenannte „legale Überwachungssoftware“, die von der israelischen Firma NSO entwickelt wurde. Der Bericht namens Pegasus Project stellte die Behauptung auf, dass die Malware durch eine Vielzahl von Exploits, darunter mehrere iOS Zero-Click-Zero-Day-Exploits, breitflächig verbreitet wurde.

Basierend auf forensischen Analysen zahlreicher Mobilgeräte stellte das Sicherheitslabor von Amnesty International fest, dass die Software wiederholt missbräuchlich zur Überwachung eingesetzt wurde. Die Liste der Zielpersonen umfasst 14 Staatsoberhäupter, Ministerpräsidenten etc. und viele andere Aktivisten, Menschenrechtsaktivisten, Dissidenten und Oppositionelle.

Im Juli vergangenen Jahres besuchten Vertreter der israelischen Regierung die Büros von NSO im Rahmen einer Ermittlung der Anschuldigungen. Im Oktober 2021 beauftragte der Oberste Gerichtshof Indiens ein technisches Komitee zu untersuchen, ob und in welchem Maße Pegasus zum Ausspionieren seiner Bürger eingesetzt wurde. Apple gab im November desselben Jahres bekannt, rechtliche Schritte gegen die NSO Group eingeleitet zu haben. Zu guter Letzt veröffentlichte Reuters im Dezember 2021, dass Mobiltelefone des US-Außenministeriums mithilfe der NSO-Pegasus-Malware gehackt worden seien.

In den vergangenen Monaten haben mich viele Fragen von besorgten Nutzern weltweit erreicht, die um den Schutz ihrer mobilen Geräte vor Pegasus und anderen ähnlichen Tools und Malware bemüht sind. Antworten auf diese Fragen versuchen wir in diesem Artikel zu finden, obwohl zu bedenken ist, dass selbst die umfassendste Liste von Abwehrtechniken nie restlos vollständig sein kann. Denn ändern Angreifer ihre Vorgehensweise, sollten selbstverständlich auch die jeweiligen Schutz- und Abwehrtechniken angepasst werden.

So schützen Sie sich vor Pegasus und anderer raffinierter mobiler Spyware

Pegasus ist ein Toolkit, das zu relativ hohen Preisen an Nationalstaaten verkauft wird. Die Kosten für eine vollständige Bereitstellung können sich in kürzester Zeit auf Millionen von US-Dollar belaufen. Ähnlich kann auch andere mobile APT-Malware durch Zero-Click-Zero-Day-Exploits bereitgestellt werden. Diese sind extrem teuer – Zerodium, ein Unternehmen, das Exploits erwirbt, zahlt beispielsweise bis zu 2,5 Millionen US-Dollar für eine persistente Android-Zero-Click-Infektionskette:

Bei Zerodium liegt der Preis persistenter Schwachstellen bei bis zu 2,5 Millionen US-Dollar

Daraus können wir bereits jetzt eine wichtige Schlussfolgerung ziehen – nationalstaatlich geförderte Cyberspionage ist ein äußerst einfallsreiches Unterfangen. Sind Bedrohungsakteure in der Lage, Millionen US-Dollar für Offensivprogramme auszugeben, ist die Wahrscheinlichkeit, dass das jeweilige Zielobjekt eine Infektion verhindern kann, gen Null. Mit anderen Worten: Wenn Sie von einem solchen Akteur angegriffen werden, stellt sich nicht die Frage, ob Sie eine Infektion erleiden können; sondern in diesem Fall ist es nur eine Frage der Zeit und Ressourcen, wann Sie infiziert werden.

Nun zu den guten Nachrichten – Exploit-Entwicklung und offensive Cyberkriegsführung sind oft eher eine Kunst als eine exakte Wissenschaft. Exploits müssen für bestimmte Betriebssystemversionen und Hardware optimiert werden und können leicht durch neue Betriebssystemversionen, neue Abwehrtechniken oder sogar durch zufällige Ereignisse verhindert werden.

Obwohl wir den erfolgreichen Exploit und die Infektion von Mobilgeräten möglicherweise nicht immer verhindern können, können wir immerhin versuchen, es den Angreifern so schwer wie möglich zu machen.

Aber wie funktioniert diese Theorie in der Praxis? Im Anschluss folgt eine einfache Checkliste.

So schützen Sie iOS vor fortschrittlicher Spyware

Tägliche Neustarts. Untersuchungen von Amnesty International und Citizen Lab zufolge, basiert die Pegasus-Infektionskette oft auf nicht persistenten Zero-Click-Zero-Day-Exploits; deshalb kann ein regelmäßiger Neustart helfen, das Gerät zu reinigen. Wird das Gerät täglich neu gestartet, müssen die Angreifer es folglich auch immer wieder neu infizieren. Mit der Zeit werden so die Chancen, eine Infektion zu erkennen, gesteigert. Es kann zu einem Absturz oder der Protokollierung von Artefakten kommen, die die heimliche Natur der Infektion verraten. Tatsächlich ist dies nicht nur Theorie, sondern Praxis – wir haben einen Fall analysiert, in dem ein Mobilgerät über einen Zero-Click-Exploit (wahrscheinlich FORCEDENTRY) angegriffen wurde. Der Inhaber des Gerätes startete dieses regelmäßig neu; so auch in den 24 Stunden unmittelbar nach dem Angriff. Die Angreifer versuchten ihr Glück zwar erneut, gaben sich aber nach weiteren erfolglosen Versuchen geschlagen.

NoReboot: iOS-Malware täuscht Neustart vor

iMessage deaktivieren. iMessage ist ein integrierter Apple-Dienst und standardmäßig aktiviert, was ihn zu einem attraktiven Angriffsvektor macht. Aus demselben Grund, ist iMessage auch ein erstklassiger Bereitstellungsmechanismus für Zero-Click-Ketten, und viele Jahre lang waren iMessage-Exploits sehr gefragt. „In den letzten Monaten haben wir eine Zunahme der Anzahl von iOS-Exploits beobachtet, hauptsächlich Safari- und iMessage-Ketten, die von Forschern aus der ganzen Welt entwickelt und verkauft werden. Auf dem Zero-Day-Markt wimmelt es derzeit nur so von iOS-Exploits, weshalb wir seit neuestem damit begonnen haben, einige dieser Exploits abzulehnen“, schrieb Chaouki Bekrar, Gründer von Zerodium, 2019 an WIRED. Wir wissen, dass das Leben ohne iMessage für einige sehr schwierig sein kann (dazu später mehr), aber wenn Pegasus und andere High-End-APT-Malware für Mobilgeräte zu einer realen Bedrohungen für Sie werden könnten, ist ein Leben ohne den Messaging-Dienst von Apple vermutlich die bessere Alternative.

Facetime deaktivieren. Siehe „iMessage deaktivieren“.

Aktualisieren Sie Mobilgeräte regelmäßig und installieren Sie die neuesten iOS-Patches, sobald sie verfügbar sind. Nicht jeder kann sich Zero-Click-Zero-Day-Exploits leisten, tatsächlich zielen viele der iOS-Exploit-Kits auf bereits gepatchte Schwachstellen ab. Trotzdem verwenden viele Nutzer ältere Mobilgeräte und schieben Updates aus den kuriosesten Gründen immer wieder auf. Wenn Sie (zumindest einigen) Hackern voraus sein wollen, installieren Sie Updates schnellstmöglich – auch wenn es im Gegenzug keine neuen Emojis geben sollte!

Öffnen Sie keine Links, die Sie per Nachricht erhalten. Klingt simpel, ist aber mehr als effektiv. Nicht alle Pegasus-Kunden können es sich leisten, Zero-Click-Zero-Day-Ketten zu einem Millionenpreis zu erwerben und verlassen sich deshalb auf 1-Click-Exploits. Letztere erreichen Sie in Form einer Nachricht – per SMS, per E-Mail oder per Messenger. Wenn Sie eine interessante SMS (o. Ä.) mit einem Link erhalten, öffnen Sie diesen ausschließlich auf einem Desktop-Computer, vorzugsweise unter Einsatz des TOR-Browsers oder noch besser mit einem sicheren Betriebssystem wie Tails.

SMS mit einem Schadlink, die auf einen politischen Aktivisten ausgerichtet ist. Quelle: Citizen Lab

Surfen Sie mit einem Alternativ-Browser wie Firefox Focus anstelle von Safari oder Chrome. Trotz der Tatsache, dass alle Browser unter iOS so ziemlich dieselbe Engine (Webkit) verwenden, funktionieren einige Exploits in alternativen Browsern nur durchwachsen (beispielsweise im Fall von LightRighter/TwoSailJunk):

LightRiver-Exploit-Kit sucht nach „Safari“ im User-Agent-String

User-Agent-Strings auf iOS von den Browsern Safari, Chrome und Firefox Focus:

• Safari: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.1 Mobile/15E148 Safari/604.1
• Chrome: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/96.0.4664.53 Mobile/15E148 Safari/1
• Firefox Focus: Mozilla/5.0 (iPhone; CPU iPhone OS 15_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/39 Mobile/15E148 Version/15.0

Verwenden Sie ein VPN, das Ihren Datenverkehr verschleiert. Einige Exploits werden durch MitM-Angriffe des GSM-Betreibers, beim Durchsuchen von HTTP-Sites oder durch DNS-Hijacking übertragen. Der Einsatz eines VPN zur Verschleierung Ihres Datenverkehrs erschwert es Ihrem GSM-Betreiber, Sie direkt über das Internet anzupeilen. Darüber hinaus erschwert ein VPN den Targeting-Prozess, wenn Angreifer bereits die Kontrolle über Ihren Datenstrom haben, wie z. B. beim Roaming. Bitte beachten Sie, dass nicht alle VPNs gleich und somit gleich gut sind. Ohne einen bestimmten VPN-Anbieter zu bevorzugen, sollten Sie beim Kauf eines VPNs, bei dem Anonymität oberste Priorität hat, einige Dinge beachten:

• Investieren Sie in ein gutes VPN — verzichten Sie auf „kostenlose“ VPNs.
• Suchen Sie nach einem Service, der Kryptowährung als Zahlungsmittel akzeptiert.
• Halten Sie nach einem Service Ausschau, der keine Anmeldeinformationen von Ihnen verlangt.
• Vermeiden Sie VPN-Apps – verwenden Sie stattdessen Open-Source-Tools wie OpenVPN, WireGuard und VPN-Profile.
• Vermeiden Sie neue VPN-Dienste und suchen Sie nach etablierten Diensten, die es schon länger gibt.

Installieren Sie eine Sicherheits-App, die Sie im Falle eines Jailbreaks warnt. Nach mehreren erfolglosen Versuchen Ihr Gerät zu infizieren, können frustrierte Angreifer einen Persistenz-Mechanismus einsetzen, der einen Jailbreak auf Ihrem Gerät verursacht. In diesem Fall erhöht sich die Chance einer Infektion um das Zehnfache.

Erstellen Sie einmal im Monat iTunes-Backups. Auf diese Weise können Sie unter Einsatz des MVT-Pakets von Amnesty International (dazu später mehr) Infektionen diagnostizieren und finden.

Führen Sie die Sysdiagnose regelmäßig aus und speichern Sie diese in Form von externen Backups. Forensische Artefakte können Ihnen dabei helfen, zu einem späteren Zeitpunkt festzustellen, ob Sie Opfer eines Angriffs geworden sind. Das Ausführen der Sysdiagnose hängt vom jeweiligen Gerätemodell ab – bei einigen iPhones erfolgt dies beispielsweise durch gleichzeitiges Drücken von Lauter + Leiser + Ein/Aus. Möglicherweise müssen Sie ein paar Mal mit der Tastenkombination spielen, bis das Gerät reagiert. Sobald die Sysdiagnose erstellt wurde, wird sie unter „Diagnose & Nutzungsdaten“ angezeigt:

Sysdiagnose unter iOS

So schützen Sie Android-Geräte vor fortschrittlicher Malware

Eine ähnliche Liste gilt auch für Android-Nutzer (für weitere Details werfen Sie einen Blick auf die Liste für iOS oben):

• Tägliche Neustarts. Die Konzepte „neue Android-Versionen“ und „Persistenz“ sind nur schwierig zu vereinen. Viele APTs und Exploit-Verkäufer vermeiden persistente Schwachstellen von Grund auf.
• Aktualisieren Sie Ihr Mobilgerät regelmäßig und installieren Sie anfallende Patches.
• Öffnen Sie keine in Nachrichten enthaltenen Links.
• Surfen Sie mit einem Alternativ-Browser wie Firefox Focus anstelle des standardmäßigen Chrome.
• Verwenden Sie immer ein VPN, das Ihren Datenverkehr verschleiert. Einige Exploits werden durch MitM-Angriffe des GSM-Betreibers, beim Durchsuchen von HTTP-Sites oder durch DNS-Hijacking ausgeliefert.
• Installieren Sie eine Sicherheitssuite, die nach Malware scannt und prüft und warnt, wenn das Gerät gerootet wurde.

Nutzer mit komplexeren Kenntnissen sollten ihren Netzwerkverkehr immer mit Live-IoCs überprüfen – dies gilt sowohl für iOS als auch für Android. Ein gutes Setup könnte ein Wireguard Always-On-VPN zu einem Server der pihole verwendet beinhalten, um Unerwünschtes herauszufiltern und den gesamten Datenverkehr zur weiteren Überprüfung zu protokollieren.

iMessage

Kürzlich habe ich mich mit meinem Freund Ryan Naraine unterhalten und er sagte mir Folgendes: „iMessage und FaceTime sind der Grund, warum sich Nutzer überhaupt für ein iPhone entscheiden!“ Und mit Sicherheit hat er Recht. Ich selbst bin seit 2008 überzeugter iPhone-Nutzer und bin der Meinung, dass iMessage und FaceTime zwei der großartigsten Dinge waren bzw. sind, die Apple diesem Ökosystem geschenkt hat. Als mir allerdings klar wurde, dass iMessage und Facetime auch einige der am häufigsten ausgenutzten Dienste sind, mit denen Ihre Mobilgeräte ausspioniert werden können, habe ich versucht, dem iMessage Hotel California zu entkommen. Das schwerste daran ist tatsächlich auch die eigene Familie davon abzuhalten, die erwähnten Apple-Dienste zu nutzen.

Ein Leben ohne iMessage ist ein Leben ohne Emojis

Zuerst habe ich versucht, Freunde und Familie für Telegram zu begeistern. Wie soll ich sagen, der Versuch ist leider gescheitert. Mit der Zeit wurde der Messenger Signal immer besser, implementierte Video- und Gruppenanrufe und immer mehr Freunde stiegen auf diesen Dienst um. Nach und nach konnte ich auch meine Familie für den freien Messenger begeistern. Damit möchte ich keineswegs sagen, dass Sie dasselbe tun sollten. Vermutlich können Sie iMessage auch weiterhin problemlos und frei von Malware nutzen – um ehrlich zu sein hat Apple die Sicherheits-Sandbox rund um iMessage mit BlastDoor in iOS 14 erheblich verbessert. Trotzdem umging der FORCEDENTRY-Exploit, der von NSO zur Bereitstellung von Pegasus verwendet wurde, BlastDoor. Aber wie bereits zuvor erwähnt: keine Sicherheitsfunktion ist zu 100% hacksicher.

Vermutlich fragen Sie sich jetzt, was nun zu tun ist? Einige Leute, darunter auch ich, besitzen zwei Mobiltelefone – eines, auf dem iMessage deaktiviert ist, und eine Art „Honeypot“-iPhone, auf dem iMessage weiterhin aktiv ist. Beide sind mit derselben Apple ID und Telefonnummer verbunden. Wenn sich nun aber jemand dazu entscheidet, mich beispielsweise per iMessage zu kontaktieren, landet er vermutlich im Honeypot-Telefon.

So erkennen Sie Pegasus und andere fortschrittliche Malware

Das Erkennen von Infektionsspuren von Pegasus und anderer fortschrittlicher mobiler Malware ist sehr schwierig und wird durch die Sicherheitsfunktionen moderner Betriebssysteme wie iOS und Android erschwert. Unseren Beobachtungen zufolge wird dies durch den Einsatz von nicht-persistenter Malware, die nach einem Neustart fast keine Spuren hinterlässt, noch komplizierter. Da viele Forensik-Frameworks einen Geräte-Jailbreak erfordern, der wiederum einen Neustart mit sich bringt, führt dies dazu, dass die Malware während des Neustarts aus dem Speicher entfernt wird.

Derzeit können verschiedene Methoden zur Erkennung von Pegasus und anderer mobiler Malware eingesetzt werden. MVT (Mobile Verification Toolkit) von Amnesty International ist kostenlos, Open Source und ermöglicht es Technikern und Ermittlern, Mobiltelefone auf Anzeichen einer Infektion zu untersuchen. MVT wird darüber hinaus durch eine Liste von IoCs (Indicators of Compromise) unterstützt, die aus profilierten Fällen gesammelt und von Amnesty International zur Verfügung gestellt wurden.

Mit Pegasus infiziert: Das sollten Sie jetzt tun

Sie haben alle Empfehlungen sorgfältig befolgt und Ihr Mobilgerät wurde dennoch infiziert? Leider ist das die Realität, in der wir heutzutage leben. Ich fühle wirklich mit Ihnen und bin mir sicher, dass Sie keine bösen Absichten hatten bzw. haben. Vielleicht haben Sie sich gegen mächtige Persönlichkeiten ausgesprochen oder an Protesten gegen eine fragwürdige Entscheidung bestimmter Politiker teilgenommen oder waren einfach zur falschen Zeit am falschen Ort. Sehen Sie es positiv! Immerhin wissen Sie, dass Sie infiziert wurden, weil Sie dies anhand von Artefakten und aufgrund Ihrer Kenntnisse feststellen konnten. Bedenken Sie nun folgende Dinge:

• Wer hat es auf Sie abgesehen und warum? Versuchen Sie herauszufinden, wie und womit Sie auf sich aufmerksam gemacht haben. Könnte ein zurückhaltenderes Verhalten in der Zukunft eine ähnliche Situation eventuell vermeiden?
• Können Sie darüber sprechen? Was viele Überwachungsunternehmen letztendlich zu Fall brachte, war schlechte Publicity. Reporter und Journalisten schreiben über Missbräuche und entlarven Lügen, Fehlverhalten & Co. Versuchen Sie deshalb einen Journalisten für Ihre Geschichte zu begeistern.
• Wechseln Sie Ihr Gerät Wenn Sie bis dato iOS-Nutzer waren, versuchen Sie eine Zeit lang auf Android umzusteigen und umgekehrt. Das könnte Angreifer verwirren; es ist durchaus bekannt, dass einige Bedrohungsakteure Exploit-Systeme gekauft haben, die nur auf einen bestimmten Hersteller abzielen.
• Nutzen Sie ein Zweitgerät, das vorzugsweise unter GrapheneOS läuft. Verwenden Sie eine Prepaid-Karte oder verbinden Sie sich nur im Flugzeugmodus über WLAN und TOR.
• Vermeiden Sie Messenger, bei denen Sie Ihren Kontakten Ihre Telefonnummer mitteilen müssen. Sobald ein Angreifer im Besitz Ihrer Telefonnummer ist, kann er Sie leicht über viele verschiedene Messenger hinweg angreifen – iMessage, WhatsApp, Signal, Telegram; all diese Dienste sind an Ihre Telefonnummer gebunden. Eine neue interessante Option könnte in diesem Fall Session sein; der Messenger leitet Ihre Nachrichten automatisch durch ein Onion-Netzwerk und ist nicht auf Telefonnummern angewiesen.
• Versuchen Sie einen Sicherheitsexperten in Ihrer Nähe zu kontaktieren und diskutieren Sie regelmäßig über die neuesten Best Practices. Tauschen Sie Artefakte, verdächtige Nachrichten oder Protokolle aus, wenn Ihnen etwas komisch vorkommt. Sicherheit allein ist nie ein 100%-iges Erfolgsrezept. Vergleichen Sie das Ganze mit einem Segeltörn auf offenem Meer: Sie müssen Ihre Segel individuell an unterschiedliche Gegebenheiten (Strömung, Wetter, uvm.) anpassen.

Abschließend möchte ich Ihnen noch einen letzten Gedanken mit auf den Weg geben. Wenn Sie von Nationalstaaten ins Visier genommen werden, bedeutet das, dass Sie wichtig sind. Denken Sie daran: Es ist nett wichtig zu sein, aber es ist wichtiger nett zu sein. Alleine sind wir schwach, gemeinsam sind wir stark. Die Welt mag zerrüttet sein, aber ich glaube, wir leben in einer Zeit, in der wir noch einige Dinge ändern können. Laut einem Bericht der gemeinnützigen Gruppe Committee to Protect Journalists wurden 2021 293 Journalisten inhaftiert, die höchste Zahl, die die CPJ seit 1992 jemals gemeldet hat. Es liegt in unseren Händen die Welt so zu gestalten, wie wir sie für uns, unsere Kinder und Enkelkinder wünschen.

Vergesst nie: Gott lebt in euch allen und ihr als Volk habt allein die Macht! Die Macht Kanonen zu fabrizieren, aber auch die Macht Glück zu spenden! Ihr als Volk habt es in der Hand, dieses Leben einmalig kostbar zu machen, es mit wunderbarem Freiheitsgeist zu durchdringen!

Daher: Im Namen der Demokratie! Lasst uns diese Macht nutzen! Lasst uns zusammenstehen! Lasst uns kämpfen für eine neue Welt, für eine anständige Welt! Die jedermann gleiche Chancen gibt, die der Jugend eine Zukunft und den Alten Sicherheit gewährt. Versprochen haben die Unterdrücker das auch, deshalb konnten sie die Macht ergreifen. Das war Lüge, wie überhaupt alles was sie euch versprachen!

Diktatoren wollen die Freiheit nur für sich, das Volk soll versklavt bleiben! Lasst uns diese Ketten sprengen, lasst uns kämpfen für eine bessere Welt! Lasst uns kämpfen für die Freiheit in der Welt! Das ist ein Ziel, für das es sich zu kämpfen lohnt. Nieder mit der Unterdrückung, dem Hass und der Intoleranz! Lasst uns kämpfen für eine Welt der Sauberkeit, in der die Vernunft siegt, in der Fortschritt und Wissenschaft uns allen zum Segen gereichen. Kameraden! Im Namen der Demokratie! Dafür lasst uns streiten!“

Endrede „Der große Diktator“

Dieser Beitrag wurde im Rahmen einer Reihe von Op-Ed-Artikeln auf der News-Website Dark Reading veröffentlicht (Teil 1, Teil 2).