Staatstrojaner "Predator" auf ägyptischen Präsidentschaftsbewerber angesetzt
Ein ägyptischer Politiker tritt als Präsidentschaftskandidat an. Kurz darauf beginnen gezielte Angriffe auf sein Smartphone, um eine Spyware zu installieren.
(Bild: iHaMoo/Shutterstock.com)
Ein Spyware-Konsortium namens Intellexa hat eine Reihe von bis vor ein paar Tagen unbekannten Zero-Day-Schwachstellen in Apples Mobilbetriebssystem miteinander verknüpft und damit ein Einfallstor für die Überwachungssoftware Predator geschaffen. Auf diesem Weg wurde nachweislich das iPhone des ägyptischen Politikers Ahmed Eltantawy, ehemaliger Parlamentsabgeordneter und Kandidat bei den Präsidentschaftswahlen 2024, ausgespäht – hinter dieser Aktion steckt höchstwahrscheinlich der ägyptische Staat. Das haben Security-Spezialisten von Citizen Lab in Zusammenarbeit Googles Threat Analysis Group (TAG) aufgedeckt.
Präparierte Kurznachrichten – Politiker schöpfte Verdacht
Eltantawy war auch Vorsitzender der Partei al-Karama und gab im März dieses Jahres bekannt, als Kandidat bei den Präsidentschaftswahlen im kommenden Jahr anzutreten. Von Mai bis September gab es daraufhin laut dem Bericht des kanadischen Citizen Lab Versuche, die Spyware "Predator" der Intellexa-Tochterfirma Cytrox auf Eltantawys iPhone zu installieren. Diese Versuche bestanden in SMS und Whatsapp-Nachrichten mit Links zu präparierten Websites, die an den Politiker geschickt wurden.
Außerdem war sein iPhone von August bis September gezielt im Visier eines Angriffs per Network Injection. Dazu muss laut der Analyse Citizen Lab eine spezielle Hardware zum Ausliefern der Spyware an der Schnittstelle zum Netz von Vodafone Egypt (dem Provider des Politikers) installiert worden sein – auf jeden Fall innerhalb Ägyptens –, von der aus sein Smartphone überwacht wurde. Wenn Eltantawy in diesem Zeitraum bestimmte, unverschlüsselte Websites besuchte, leitete ihn das Gerät auf präparierte Websites um, die versuchten, sein iPhone mit Predator zu infizieren. Eltantawy schöpfte Verdacht und überließ Citizen Lab sein Smartphone zur Analyse.
Gezielter Lauschangriff auf Präsidentschaftskandidaten
Bei der Untersuchung durch Citizen Lab und Google TAG deckten die Spezialisten eine Reihe von Sicherheitslücken auf, durch deren Verkettung der Angriff möglich wurde und deren Ziel darin bestand, eine Spyware zu installieren. Diese Spyware, deren erste zu installierende Komponente Citizen Lab ebenfalls analysierte, ähnelt stark der bekannten kommerziellen Spyware Predator von Cytrox. Da Ägypten bekanntermaßen ein Cytrox-Kunde sei, so schließt Citizen Lab, könne man mit großer Wahrscheinlichkeit auch annehmen, dass die ägyptische Regierung (und entsprechend angewiesenen Institutionen) hinter dem Angriff auf Eltantawy stecke. Der Angriff sei speziell auf iOS-Versionen bis einschließlich 16.6.1 abgestimmt.
Die zu diesem Angriff ausgenutzten Sicherheitslücken sind genau jene drei, die Apple erst am Donnerstag dieser Woche (21.9.) geschlossen hat. Sie betreffen iOS vor Version 16.7 sowie das gerade erst herausgebrachte iOS 17 (aktuell ist 17.0.1), dazu iPadOS, macOS und watchOS. Ein Update wird dringend empfohlen.
Spyware gegen regierungskritische Personen
Citizen Lab hat schon zuvor einen Spyware-Angriff mit Predator auf zwei ägyptische Politiker aufgedeckt. 2021 waren zwei Exil-Ägypter betroffen, deren Smartphones außerdem gleichzeitig mit der Spyware Pegasus des Konkurrenten NSO Group infiziert waren. Und im Jahr zuvor deckte Citizen Lab einen Angriff auf Journalisten des Senders Al-Jazeera auf. Die Spyware Predator ist inzwischen recht gut analysiert und wird auch gegen Android-Smartphones eingesetzt. Jüngst traf es auch regierungskritische Personen in Polen, deren Telefone Opfer von Pegasus wurden und die darüber komplett durchleuchtet worden sein sollen.
(tiw)
