Russische Spione nutzten iPhone-Exploits von US-Auftragnehmer

Ein beunruhigender Weg von Exploits

Googles Threat Analysis Group hat eine Reihe von ausgefeilten iPhone-Hacking-Tools identifiziert, die von einer russischen staatlichen Spionagegruppe und einer chinesischen Cyber-Kriminalorganisation verwendet werden, und Quellen von einem US-Regierungs-Auftragnehmer haben bestätigt, dass einige dieser Tools aus ihrer eigenen Entwicklungsarbeit stammen. Die Enthüllung wirft dringende Fragen auf, wie offensive Cyber-Fähigkeiten, die für nationale Sicherheitszwecke entwickelt wurden, in die Hände ausländischer Gegner gelangen.

Der Fund, über den TechCrunch berichtet, stellt eines der konkretesten Beispiele dar, das es bisher für das Verbreitungsproblem von Exploits gibt, vor dem Cybersicherheitsexperten seit Jahren warnen. Während Regierungen massiv in die Entwicklung von offensiven Cyber-Fähigkeiten investieren, können die Tools und Techniken sich durch verschiedene Kanäle verbreiten – von bewussten Verkäufen durch kommerzielle Spyware-Anbieter bis hin zu Diebstahl, Lecks und unabhängigen Wiederentdeckungen derselben Anfälligkeiten durch mehrere Akteure.

Das Toolkit und seine Fähigkeiten

Googles Forscher identifizierten die Hacking-Tools durch ihre laufende Überwachung staatlich unterstützter Bedrohungsakteure. Das Toolkit zielt auf Anfälligkeiten in iOS, Apples mobiles Betriebssystem, ab und ermöglicht es Angreifern, Zugriff auf iPhones zu erhalten, ohne dass das Ziel auf einen bösartigen Link klicken oder irgendeine Aktion ausführen muss – eine Fähigkeit, die als Zero-Click-Exploit bekannt ist.

Zero-Click-Exploits sind die wertvollste und gefährlichste Klasse von Mobile-Hacking-Tools. Sie nutzen Fehler in der Art, wie Telefone eingehende Daten wie Nachrichten, E-Mails oder Netzwerkpakete verarbeiten, um bösartigen Code auszuführen, bevor der Benutzer überhaupt bemerkt, dass etwas geschehen ist. Die Entwicklung dieser Exploits erfordert tiefes technisches Fachwissen und erhebliche Ressourcen, weshalb sie hauptsächlich mit Regierungsbehörden und der kommerziellen Spyware-Industrie verbunden sind.

Die spezifischen Anfälligkeiten, die das Toolkit ausnutzt, wurden inzwischen von Apple behoben, doch das Expositionsfenster vor dem Einspielen dieser Patches ließ eine unbekannte Anzahl von Geräten für Überwachung anfällig.

Wie Tools über Grenzen hinweg verbreitet werden

Der Weg von Entwicklungslabor eines US-Auftragnehmers zu russischen Geheimdienstoperationen ist noch nicht vollständig geklärt. Mehrere Szenarien sind möglich. Die Tools könnten durch einen Cyber-Angriff auf den Auftragnehmer selbst gestohlen worden sein – eine Form von Supply-Chain-Attacke, die Geheimdienste verfolgt. Alternativ könnten die Tools oder die ihnen zugrunde liegenden Schwachstelleninformationen durch Vermittler im grauen Markt für Exploits weitergegeben worden sein.

Der kommerzielle Exploit-Markt ist ein globales Ökosystem, in dem Sicherheitsforscher, Vermittler und Regierungskunden in offensiven Fähigkeiten handeln. Während die USA und ihre Verbündeten große Teilnehmer sind, bedient der Markt auch Kunden, die westliche Regierungen lieber ausschließen würden. Vermittler können denselben Exploit an mehrere Kunden verkaufen, ohne dass der ursprüngliche Entwickler dies weiß oder zustimmt.

Eine dritte Möglichkeit ist die unabhängige Wiederentdeckung – Forscher in Russland und den USA könnten dieselben iOS-Anfälligkeiten separat gefunden und ausgenutzt haben. Die strukturellen Ähnlichkeiten in den Toolkits, die Google identifiziert hat, deuten jedoch auf eine direktere Verbindung als parallele Entwicklung hin.

Auswirkungen auf Auftragnehmer

Die Beteiligung eines US-Auftragnehmers fügt ein Mass an Rechenschaftspflicht hinzu, das frühere Fälle von Exploit-Verbreitung lacked haben. Wenn kommerzielle Spyware-Unternehmen wie die NSO Group an ausländische Regierungen verkaufen, ist die Übertragung zumindest beabsichtigt, auch wenn sie umstritten ist. In diesem Fall hat der Auftragnehmer anscheinend die Kontrolle über Tools verloren, die für legitime nationale Sicherheitszwecke entwickelt wurden.

Auftragnehmer der Verteidigungsindustrie, die an offensiven Cyber-Fähigkeiten arbeiten, unterliegen strengen Sicherheitsanforderungen, einschliesslich klassifizierter Netzwerkinfrastruktur, Sicherheitsüberprüfungen für Personal und Überwachung durch sponsernde Regierungsbehörden. Ein Bruch, der schwerwiegend genug ist, um Exploit-Tools zu gefährden, würde wahrscheinlich Untersuchungen durch sowohl den Auftragnehmer als auch seine Regierungskunden auslösen.

Die breitere Verbreitungsherausforderung

Dieser Vorfall hebt eine grundlegende Spannung in der Offensive-Cyber-Domäne hervor. Regierungen argumentieren, dass die Entwicklung von Exploits notwendig ist für Geheimdienste, Terrorismusbekämpfung und militärische Operationen. Aber jedes entwickelte Tool stellt ein potenzielles Verbreitungsrisiko dar. Im Gegensatz zu Atomwaffen, die massive physische Infrastruktur erfordern, sind Cyber-Tools Software – sie können kopiert, gestohlen und überall in der Welt mit minimaler Infrastruktur eingesetzt werden.

Die Cybersicherheits-Community hat lange Zeit für mehr Transparenz und Rechenschaftspflicht im Exploit-Markt plädiert, einschliesslich verpflichtender Offenlegung von Anfälligkeiten gegenüber betroffenen Anbietern und Beschränkungen beim Verkauf von offensiven Tools an Regierungen mit schlechten Menschenrechtsbilanzen. Das Wassenaar-Arrangement, ein internationales Exportkontrollregime, enthält Bestimmungen zur Überwachungstechnologie, aber die Durchsetzung bleibt inkonsistent.

Was als Nächstes geschieht

Googles Offenlegung wird wahrscheinlich Interesse des Kongresses auslösen, besonders von Gesetzgebern, die bereits um die Auswirkungen der kommerziellen Spyware-Industrie auf die nationale Sicherheit besorgt sind. Der Fund, dass von den USA entwickelte Tools gegen Ziele von Verbündeten eingesetzt werden, könnte Argumente für strengere Kontrollen auf offensive Cyber-Entwicklung und Verbreitung stärken. Für iPhone-Benutzer bleibt der unmittelbare Rat konsistent: Geräte auf die neueste iOS-Version aktualisieren, da Apple regelmässig die Anfälligkeiten behebt, die diese Tools ausnutzen.

Dieser Artikel basiert auf Berichterstattung von TechCrunch. Lesen Sie den Originalartikel.