wechselnd bewölkt
DE | FR
34
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Digital
Datenschutz

Mysteriöser Spyware-Verkäufer Candiru ist zurück und das ist ein Problem

Schwachstellen im Web-Browser sind beliebte Einfallstore für Hacker.Bild: watson

Spyware-Verkäufer Candiru ist zurück – und das sind Bad News für uns alle

Apple, Google und Microsoft haben zuletzt mehrere Hochrisiko-Sicherheitslöcher in ihren Web-Browsern geschlossen. Was dies mit dem berüchtigten Spyware-Hersteller Candiru zu tun hat und warum du deinen Browser wirklich IMMER updaten solltest.
28.07.2022, 16:0730.07.2022, 06:08

Apple hat letzte Woche mehrere Sicherheitslücken in seinem Browser Safari gestopft. Die Schwachstellen wurden mit dem Update auf Safari 15.6 für macOS Big Sur und macOS Catalina behoben. Schon Anfang Juli schlossen Google und Microsoft die gleichen, brandgefährlichen Zero-Day-Lücken in Chrome und Edge.

Was nach einem mehr oder weniger gewohnten Vorgang klingt, ist erstens eine Bedrohung für uns alle und hat zweitens eine weitgehend unbeachtete politische Dimension.

Die Spyware, die Geheimdienste lieben

Brisant: Unbekannte Hacker haben die Lücken zuvor für Spionage-Aktionen gegen Journalisten und wohl auch Politiker, Menschenrechtsaktivisten, Anwälte oder politische Dissidenten genutzt. Dies berichtete die Sicherheitsfirma Avast zuerst.

Demnach wurden Journalisten im Libanon, im Jemen, in Palästina sowie der Türkei ausspioniert. Bei den Angreifern dürfte es sich um staatliche Hacker von Geheimdiensten handeln, die im Auftrag von Regierungen unliebsame Journalisten und Oppositionelle überwachen. Für die Betroffenen hat dies möglicherweise verheerende Konsequenzen.

Spyware-Grüsse aus Tel Aviv

Die für die Beschattung genutzte Spionagesoftware DevilsTongue wurde von Candiru entwickelt. Ein geheimnisumwobenes Unternehmen für Cyber-Kriegsführung mit Sitz in Tel Aviv, das nur schwer zurückverfolgbare Spionagesoftware an Regierungen verkauft.

Das 2015 gegründete Unternehmen, das keine Webseite besitzt und mehrfach seinen Namen geändert hat, rekrutiert seine IT-Cracks mit Vorliebe von der Elite-Cyber-Truppe Unit 8200 des israelischen Militärnachrichtendienstes. Die IT-Spezialisten werden angeblich mit Monatslöhnen von umgerechnet rund 20'000 Franken angeworben.

Von der israelischen Spyware-Firma Candiru gibt es kaum Fotos. Diese ältere Aufnahme wurde von einer Catering-Firma auf Facebook veröffentlicht.
Von der israelischen Spyware-Firma Candiru gibt es kaum Fotos. Diese ältere Aufnahme wurde von einer Catering-Firma auf Facebook veröffentlicht.
bild: via citizenlab

Früheren Berichten israelischer Medien zufolge kann die Candiru-Spyware iPhones, Android-Geräte, Macs, PCs und Cloud-Konten infizieren und überwachen. Gemäss einer durchgesickerten Offerte an einen Kunden gelangt die Spyware über verschiedene Wege auf die Geräte der Zielperson. Einige Angriffe erfordern einen Klick auf einen Link, andere funktionieren ohne jegliche Aktion der Betroffenen, was sie speziell gefährlich macht.

Es kann ausreichen, wenn der angegriffene User eine manipulierte Webseite aufruft, um sich die Schadsoftware einzufangen. Bei einem nicht aktualisierten Browser ist das Risiko besonders gross.

Einmal Überwachung mit allem

Aus einer vor rund zwei Jahren geleakten Offerte (PDF) wird ersichtlich, dass die Spyware wohl Daten aus einer Reihe von Apps und Konten wie Gmail, Outlook, WhatsApp, Telegram, Facebook etc. ausspähen kann. Die Spyware für Windows, iOS und Android kann offenbar auch den Browserverlauf und Passwörter erfassen, die Webcam und das Mikrofon der Zielperson einschalten und Screenshots vom Bildschirm übermitteln. Das Erfassen von Daten aus zusätzlichen Apps wie Signal wird mit Aufpreis verkauft. In der Offerte preist der Hersteller sein System als «nutzerfreundliche High-End-Cyber-Intelligence-Plattform», um Computer, Netzwerke und Smartphones zu infiltrieren.

Auszug aus einer älteren Offerte von Candiru: Die Preise hängen von der Anzahl überwachter Geräte und der Anzahl Länder ab, in denen überwacht werden soll.
Auszug aus einer älteren Offerte von Candiru: Die Preise hängen von der Anzahl überwachter Geräte und der Anzahl Länder ab, in denen überwacht werden soll. screenshot: via citizenlab

Candiru scheint seine Überwachungssoftware zu lizenzieren. Je mehr User gleichzeitig überwacht werden sollen, desto teurer wird der Spionage-Service für Strafermittler und Nachrichtendienste. Die Kunden befinden sich gemäss einem ehemaligen Candiru-Manager in Westeuropa, Ländern der ehemaligen Sowjetunion, dem Persischen Golf, Asien und Lateinamerika.

«Das Unternehmen hilft Strafverfolgungsbehörden und Geheimdiensten in verschiedenen Ländern, sich unerlaubt in Computersysteme einzuhacken, um sie zu überwachen, Informationen zu stehlen und sogar Schaden anzurichten», schrieb die israelische Zeitung «Haaretz» 2020 in einem Enthüllungsbericht. Candiru sagt, dass ihre Spyware nur an demokratische Staaten verkauft werde. Allerdings tauchten in den letzten Jahren Berichte auf, die Candiru mit Ländern wie Saudi-Arabien, Katar oder Usbekistan in Verbindung bringen.

Bei den eben erst von Avast publik gemachten Spionage-Aktionen mit Candiru-Spyware gegen Medienschaffende im Nahen Osten wurden Chrome-User mit Windows-Geräten angegriffen. Da die nun geschlossenen Schwachstellen aber Browser von Google, Microsoft und Apple betreffen, sei denkbar, dass auch Safari-User mit Apple-Geräten ausspioniert worden seien, schreibt Avast.

Warum die Sicherheitslücken uns alle gefährden

Bei der jüngsten Spionage-Kampagne mit Candiru-Software suchten sich die Angreifer ihre Opfer sehr gezielt aus. Besteht für die grosse Masse der Internet-User daher keine Gefahr?

Doch.

Sobald Schwachstellen in den Browsern von Apple, Google und Microsoft allgemein bekannt werden, ist es nur eine Frage von Stunden oder Tagen, bis Kriminelle auf breiter Front zuschlagen.

Sicherheitslücken werden oft zuerst von Geheimdiensten gezielt gegen einige wenige (hochrangige) Personen eingesetzt: beispielsweise zur Überwachung von Schwerkriminellen und Terroristen, aber auch von (oppositionellen) Politikern, Anwälten oder Aktivisten. Werden die Lücken irgendwann geschlossen, werden sie erst recht gefährlich, da kriminelle Hacker sie nun für betrügerische Aktionen wahllos gegen die breite Masse einsetzen. Sie wissen nur zu gut, dass etliche private User und Firmen sich mit dem Sicherheits-Update Zeit lassen und somit leichte Beute sind.

Anders gesagt: Wann immer Apple, Google oder Microsoft einen Security-Patch herausbringen, beginnen Kriminelle nach Wegen zu suchen, wie man die entfernte Schwachstelle potenziell ausnützen kann. Ihnen geht es rein darum, möglichst viel Geld zu scheffeln, etwa mit Verschlüsselungs-Trojanern, die Computer von Privaten oder IT-Systeme von Firmen und Behörden lahmlegen.

Dies funktioniert nur zu gut, da es einen beträchtlichen Schwarzmarkt an bekannten, nicht gestopften Sicherheitslücken gibt, wo sich Kriminelle und staatliche Hacker eindecken können.

Daher sollten Sicherheits-Updates – unabhängig vom Betriebssystem – immer rasch installiert werden. Es geht dabei nicht nur um die Sicherheit des eigenen Geräts, sondern auch um jene der gesamten Unternehmung.

Das gilt im aktuellen Beispiel umso mehr, da Apple, Google und Microsoft jeweils gleich mehrere gefährliche Lücken schliessen mussten. Laut Apple können «durch den Besuch einer in böser Absicht erstellten Website vertrauliche Daten offengelegt werden» und es kann «zur Ausführung von willkürlichem Code» kommen. Bei IT-Sicherheitsexperten schrillen bei solchen Formulierungen die Alarmglocken. Diese Lücken ermöglichen allenfalls Angriffe, die ohne jegliche Aktion der Betroffenen funktionieren.

Warum Spyware oft unentdeckt bleibt

Durch solche besonders gravierende Schwachstellen im Browser genügt schlimmstenfalls allein der Besuch einer manipulierten Webseite, um sich eine sogenannte «Zero-Click»-Schadsoftware einzufangen. Bei Spionage-Aktionen machen sich staatliche Hacker genau dies zunutze: Im aktuellen Fall haben die Angreifer im Libanon gezielt eine Webseite manipuliert, die von Journalisten genutzt wird.

Damit die Sicherheitslücke lange unbemerkt blieb, grenzten die Hacker ihre Attacke auf wenige, zuvor ausgewählte Opfer ein. Dieses spezifische Vorgehen vermindert das Risiko, dass Schwachstelle und Spionagesoftware auffliegen.

Frühere Hacker-Attacken mit Spyware von Candiru wurden bereits im Juli 2021 von Microsoft und dem auf Netzwerküberwachung spezialisierten CitizenLab der Universität von Toronto enttarnt. Konkret hatten die IT-Sicherheitsexperten über 100 Opfer der israelischen Schadsoftware aufgespürt. Danach musste Candiru ihre Spähsoftware vermutlich anpassen. Nun ist sie zurück.

CitizenLab war bereits massgeblich an der Enthüllung der berüchtigten Spionagesoftware Pegasus beteiligt, die seit Jahren von vielen Staaten zur Überwachung von potenziell Kriminellen, aber auch von Journalisten und Oppositionellen, genutzt wird. Pegasus stammt von der NSO Group, dem grössten und prominentesten israelischen Anbieter von Spyware.

Nicht ohne meine Spyware

«Fast alle Regierungen in Europa nutzen unsere Tools», behauptete Shalev Hulio, einer der Co-Gründer der berüchtigten NSO Group. Laut netzpolitik.org nutzen zwölf EU-Länder den Staatstrojaner Pegasus für iPhones und Android-Smartphones, unter anderem Polen, Ungarn, Deutschland und Spanien.

NSO und Candiru wurden laut israelischen Medienberichten von Isaac Zack gegründet, einem Risikokapital-Investor. Sie sind nur ein kleiner Teil einer internationalen und mutmasslich milliardenschweren Branche, die sich auf fortschrittliche Hacking-Tools für Staaten (Staatstrojaner) spezialisiert hat.

Insbesondere in autoritären Staaten sind Medienschaffende und Anwälte beliebte Hacking-Opfer, da sich Regierungen erhoffen, so an ihre Quellen und Mandanten, respektive an Informationen über oppositionelle Politiker zu gelangen. Aber auch in Spanien setzte der Geheimdienst CNI den Staatstrojaner ein, um katalanische Politiker und Aktivisten zu bespitzeln.

Recherchen des Westschweizer Fernsehens (RTS) zeigten vor einem Jahr: Schweizer Strafverfolgungsbehörden verwenden israelische Überwachungssoftware «vom gleichen Typ wie Pegasus». Hiesige Strafermittler dürfen Staatstrojaner seit März 2018 zur Aufklärung besonders schwerer Delikte nutzen. Der Einsatz muss von einem Gericht bewilligt werden. Allerdings waren die Spähprogramme schon zuvor im Einsatz.

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Das bringt die neue Mac-Software macOS Monterey

1 / 18
Das bringt die neue Mac-Software macOS Monterey
quelle: keystone / apple handout
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Ehemalige Facebook-Mitarbeiterin enthüllt Geheimnisse

Video: watson

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

34 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Alois Karlheinz Wurstlhuber
28.07.2022 16:22registriert März 2022
Ich freue mich schon über den ersten "mich betrifft es nicht, habe ja nichts zu Verbergen" -Kommentar. 🤦🏻‍♂️
808
Melden
Zum Kommentar
avatar
El_Chorche
28.07.2022 16:40registriert März 2021
Candiru heisst übrigens auch der Fisch, welcher versucht, die Harnröhre raufzukriechen.

Irgendwie passend.
733
Melden
Zum Kommentar
avatar
_andreas
28.07.2022 17:03registriert April 2020
Alleine der Fakt, das so ziemlich jede Webseite dich ausspioniert sollte jedem mittlerweile klar sein. Eine solche Spyware ist dann noch eine Hausnummer heftiger.
Ich weis schon wieso dass ich Browserextensions wie noScript, Ghostery, ublock origin und ein Pihole verwende und auch Software immer aktuell halte. Klar ist man nie 100%ig sicher aber man kann die Gefahr zumindest ziemlich minimieren.
294
Melden
Zum Kommentar
34
Einfach 44 fies-lustige Tweets, die Elon Musks Twitter-Problem auf den Punkt bringen
Elon Musk hat sich Twitter für 44 Milliarden Dollar unter den Nagel gerissen – und sich mit seinem erratischen Führungsstil in nur drei Wochen zur Lachnummer gemacht.

Obacht, geschätzte watson-Userin, geschätzter -User: Wenn die Tweets in diesem Artikel nicht prompt angezeigt werden, klicke für unseren hilfsbereiten IT-Support auf diesen Link, zähle wahlweise laut oder leise auf fünf und scrolle erst dann weiter.

Zur Story