Eine Koalition von dutzenden Ländern, darunter Frankreich, das Vereinigte Königreich und die USA, sowie Technologieunternehmen wie Google, MDSec, Meta und Microsoft, haben eine gemeinsame Vereinbarung unterzeichnet, um den Missbrauch von kommerzieller Spionagesoftware zur Verletzung der Menschenrechte einzudämmen.
Die Initiative, die als Pall Mall Process bezeichnet wird, zielt darauf ab, die Verbreitung und den unverantwortlichen Einsatz von kommerziellen Cyber-Eindringungswerkzeugen einzudämmen, indem sie Leitlinien und politische Optionen für Staaten, die Industrie und die Zivilgesellschaft in Bezug auf die Entwicklung, Bereitstellung, den Kauf und die Nutzung solcher Werkzeuge festlegt.
In der Erklärung wurde festgestellt, dass die „unregulierte Verbreitung“ von Spionagesoftware zu einer „unbeabsichtigten Eskalation im Cyberspace“ beiträgt und Risiken für die Cyberstabilität, die Menschenrechte, die nationale Sicherheit und die digitale Sicherheit birgt.
„Bei missbräuchlicher Verwendung können diese Werkzeuge auf die Geräte von Opfern zugreifen, Anrufe abhören, Fotos erhalten und Kameras und Mikrofone über ‚Zero-Click‘-Spionagesoftware fernsteuern, ohne dass Benutzerinteraktion erforderlich ist“, heißt es in einer Pressemitteilung der britischen Regierung.
Nach Angaben des National Cyber Security Centre (NCSC) wurden weltweit jedes Jahr Tausende von Personen in Spionagesoftware-Kampagnen ins Visier genommen.
„Bisher konnten unsere Cyber-Abwehrmaßnahmen nur schwer öffentliche Einrichtungen und Dienste schützen, da der kommerzielle Markt für diese Werkzeuge wächst und dadurch die Anzahl und Schwere von Cyber-Angriffen zunehmen und immer teurere Schäden verursachen“, sagte der stellvertretende Premierminister Oliver Dowden bei der UK-France Cyber Proliferation-Konferenz.
Auffallend abwesend von der Liste der teilnehmenden Länder ist Israel, das Heimat mehrerer privater Anbieter von Angriffswerkzeugen (PSOAs) oder kommerzieller Überwachungsanbieter (CSVs) wie Candiru, Intellexa (Cytrox), NSO Group und QuaDream ist.
Laut einem Bericht von Recorded Future News haben Ungarn, Mexiko, Spanien und Thailand, die in der Vergangenheit mit Spionagesoftware-Missbrauch in Verbindung gebracht wurden, das Versprechen nicht unterzeichnet.
Die mehrstufige Maßnahme fällt zusammen mit der Ankündigung des US-Außenministeriums, Visa für Personen zu verweigern, die es für involviert in den Missbrauch gefährlicher Spionagesoftware-Technologie hält.
Einerseits werden Spionagesoftware wie Chrysaor und Pegasus an Regierungskunden für den Einsatz im Bereich der Strafverfolgung und Terrorismusbekämpfung lizenziert. Andererseits wurden sie auch routinemäßig von unterdrückenden Regimes missbraucht, um Journalisten, Aktivisten, Anwälte, Menschenrechtsverteidiger, Dissidenten, politische Gegner und andere Mitglieder der Zivilgesellschaft ins Visier zu nehmen.
Solche Eindringungen nutzen in der Regel Zero-Click- (oder One-Click-) Exploits, um die Überwachungssoftware heimlich auf die Google Android- und Apple iOS-Geräte der Ziele zu bringen und sensible Informationen zu sammeln.
Dennoch waren die bisherigen Bemühungen zur Bekämpfung und Eindämmung des Spionagesoftware-Ökosystems eine Art Katz-und-Maus-Spiel und verdeutlichen die Herausforderung, sich wiederholenden und weniger bekannten Akteuren abzuwehren, die ähnliche Cyberwaffen bereitstellen oder entwickeln.
Dies betrifft auch die Tatsache, dass CSVs weiterhin Anstrengungen unternehmen, neue Exploit-Ketten zu entwickeln, während Unternehmen wie Apple, Google und andere Zero-Day-Schwachstellen entdecken und schließen.
„Solange es eine Nachfrage nach Überwachungsfähigkeiten gibt, wird es Anreize für CSVs geben, weiterhin Tools zu entwickeln und zu verkaufen, was eine Branche aufrechterhält, die hochriskante Benutzer und die Gesellschaft insgesamt schädigt“, sagte die Threat Analysis Group (TAG) von Google.
Ein umfassender Bericht, der diese Woche von TAG veröffentlicht wurde, enthüllte, dass das Unternehmen etwa 40 kommerzielle Spionagesoftware-Unternehmen verfolgt, die ihre Produkte an Regierungsbehörden verkaufen, von denen 11 mit der Ausnutzung von 74 Zero-Day-Schwachstellen in Google Chrome (24), Android (20), iOS (16), Windows (6), Adobe (2) und Mozilla Firefox (1) in Verbindung gebracht werden.
Unbekannte staatlich unterstützte Akteure haben zum Beispiel im letzten Jahr drei Schwachstellen in iOS (CVE-2023-28205, CVE-2023-28206 und CVE-2023-32409) als Zero-Day ausgenutzt, um Opfer mit einer von Variston entwickelten Spionagesoftware zu infizieren. Die Schwachstellen wurden von Apple im April und Mai 2023 behoben.
Die im März 2023 entdeckte Kampagne lieferte über SMS einen Link und zielte auf iPhones in Indonesien ab, auf denen iOS-Versionen 16.3.0 und 16.3.1 liefen, um über das Heliconia-Exploitation-Framework das BridgeHead-Spionagemittel zu implementieren. Die Bewaffnung durch Variston ist ein Sicherheitsmanko von hoher Schwere in Qualcomm-Chips (CVE-2023-33063), das erstmals im Oktober 2023 bekannt wurde.
Die vollständige Liste der Zero-Day-Schwachstellen in Apple iOS und Google Chrome, die 2023 entdeckt wurden und bestimmten Spionagesoftware-Anbietern zugeordnet wurden, enthält folgende Informationen:
Zero-Day-Exploit
Zugehöriger Spionagesoftware-Anbieter
CVE-2023-28205 und CVE-2023-28206 (Apple iOS)
Variston (BridgeHead)
CVE-2023-2033 (Google Chrome)
Intellexa/Cytrox (Predator)
CVE-2023-2136 (Google Chrome)
Intellexa/Cytrox (Predator)
CVE-2023-32409 (Apple iOS)
Variston (BridgeHead)
CVE-2023-3079 (Google Chrome)
Intellexa/Cytrox (Predator)
CVE-2023-41061 und CVE-2023-41064 (Apple iOS)
NSO Group (Pegasus)
CVE-2023-41991, CVE-2023-41992 und CVE-2023-41993 (Apple iOS)
Intellexa/Cytrox (Predator)
CVE-2023-5217 (Google Chrome)
Candiru (DevilsTongue)
CVE-2023-4211 (Arm Mali GPU)
Cy4Gate (Epeius)
CVE-2023-33063 (Qualcomm Adreno GPU)
Variston (BridgeHead)
CVE-2023-33106 und CVE-2023-33107 (Qualcomm Adreno GPU)
Cy4Gate (Epeius)
CVE-2023-42916 und CVE-2023-42917 (Apple iOS)
PARS Defense
CVE-2023-7024 (Google Chrome)
NSO Group (Pegasus)
„Private Unternehmen sind seit vielen Jahren daran beteiligt, Exploits zu entdecken und zu verkaufen, aber die zunehmende Verbreitung von Gesamtlösungen für Spionage ist ein neueres Phänomen“, sagte der Tech-Riese.
„CSVs arbeiten mit umfangreicher technischer Expertise, um Tools anzubieten, die ein Exploit-Paket enthalten, das darauf abzielt, die Verteidigung eines ausgewählten Geräts zu durchdringen, die Überwachungssoftware, und die erforderliche Infrastruktur, um die gewünschten Daten auf dem Gerät einer Person zu sammeln.“