Trojaner der NSO Group und intellexa in russischer Hand

Die Threat Analysis Group (TAG) von Google berichtete zwischen November 2023 und Juli 2024 über mehrfach festgestellte Exploit-Angriffe. Diese Angriffe stammten entweder von intellexa oder der NSO Group. Betroffen waren unter anderem Regierungswebsites in der Mongolei.



APT29 und Schadsoftware


APT29, eine Hackergruppe, nutzte explizit Schadsoftware von intellexa oder der NSO Group. Im Blog der TAG wird detailliert beschrieben – ebenso wie russische Hacker ihre Angriffe umsetzten. Diese Kampagnen begannen mit einem iOS-WebKit-Exploit. Der Exploit richtete sich gegen iOS-Versionen die älter als 16․6․1 waren. Ein Watering-Hole-Angriff stellte eine Herausforderung für iPhone-Nutzer dar. Diese mussten lediglich spezielle präparierte Webseiten besuchen. Später setzten die Hacker eine Chrome-Exploit-Kette gegen Android-Nutzer ein. Diese Angriffe betrafen Android-Versionen von m121 bis m123 und funktionierten auf allen ungepatchten Android-Smartphones.



Verbindung zur russischen Regierung


Die Sicherheitsforscher von TAG gehen mit mittlerer Wahrscheinlichkeit davon aus, dass diese Kampagnen direkt mit der russischen Hackergruppierung APT29 verbunden sind. Die Angreifer verwendeten Exploits – die genauso viel oder sehr ähnlich zu früheren Exploits von intellexa und der NSO Group sind. Beide Unternehmen haben ihren Ursprung in Israel. intellexa ist bekannt für ihre Spyware *Predator*.



Unklare Herkunft der Schwachstellen


Es bleibt unklar wie die russische Regierung an diese Schwachstellen gelangte. Dies verdeutlicht, dass Exploits die von kommerziellen Spyware-Herstellern entwickelt werden, schlimmstenfalls direkt nach Moskau gelangen könnten. APT29 ist berüchtigt für seine gut geplanten Angriffe die der Spionage oder dem Datenklau dienen. Auf diese Weise gerieten sogar Microsoft und Solarwinds ins Fadenkreuz dieser Angreifer.



Nutzung von Schwachstellen


Die Sicherheitsabteilung von Google stellte fest. Dass Safari-Sicherheitslücke ausgenutzt wurde um Cookies von Benutzerkonten zu stehlen. Diese Konten waren bei verschiedenen Online-E-Mail-Anbietern gespeichert. Mongolische Regierungsmitglieder waren die Hauptziele dieser Attacken. Auch auf Android-Geräten gelang es Hackern, Cookies zu nutzen um Zugang zu den Konten der Regierungsmitarbeiter zu erhalten. Die TAG entdeckte denselben Code – den APT29 bereits 2021 verwendet hatte. Anzunehmen ist, dass diese Hacker Befehlsempfänger des russischen Geheimdienstes Sluschba wneschnei raswedki (SVR) sind.



Fragen zur Herkunft der Exploits


Wie gelangten die Exploits von intellexa ins russische Hackerumfeld? Diese Frage bleibt unbeantwortet. Möglicherweise entdeckte jemand von APT29 die gleichen Schwachstellen unabhängig. Eine andere Vermutung ist – dass diese Schwachstellen möglicherweise mit Moskauer Geld gekauft oder Dritten entwendet wurden. Bis auf die Hacker selbst und die Mitarbeiter des SVR weiß niemand Näheres.



Stellungnahme der NSO Group und intellexa


Gegenüber Techcrunch die zunächst darüber berichteten betont die NSO Group, dass man keine Software an Russland verkauft habe. Anfragen seitens Techcrunch an intellexa und die russische Botschaft blieben unbeantwortet.



Sicherheitsrisiken durch Hintertüren


Fachexperten warnen seit längerem vor den Forderungen einiger EU-Politiker. Diese Politiker drängen auf die Installation von Hintertüren in die Verschlüsselung von Messengerdiensten. Ebenso wird die Entwicklung staatlicher Schadsoftware kritisch hinterfragt. Auch der ehemalige Präsident Estlands, Toomas Ilves, äußerte Bedenken. Er warnte im Gespräch: "Wer Verschlüsselung aufhebt, gibt Putin den Schlüssel zum Königreich."



Zukünftige Risiken und die Rolle Ungarns


Die Einführung von Chatkontrollen könnte zu einem erheblichen Sicherheitsrisiko für Geräte in der EU führen. Immer wenn es Schadsoftware oder Hintertüren gibt stellt sich die Frage in wessen Hände diese letztendlich gelangen könnten. Ursprünglich schien das Thema vom Tisch zu sein bis Ungarn es kürzlich wieder zur Sprache brachte.






Kommentare


Anzeige