Knapp fünf Jahre sind vergangen, seit Amnesty International über massenhafte weltweite Grundrechtsverstöße berichtete, welche auf die Software „Pegasus“ der NSO Group zurückgehen. Diese nutzt Lücken in mobilen Betriebssystemen (auch iOS), um Menschen gezielt auszuspähen. Die Betroffenen: Regierungsmitglieder, Journalisten, Menschenrechtler, Oppositionspolitiker – teilweise mit tödlichen Konsequenzen. Ein neuer Bericht legt neue Angriffe aus jüngster Vergangenheit offen – sie zielten weniger auf Sicherheitslücken ab, sondern versuchen stattdessen, Anwender zur Preisgabe ihrer Anmeldedaten zu verleiten.


Die Masche ist altbekannt und weit verbreitet: E-Mails und Textnachrichten fordern Nutzer dazu auf, eine bestimmte URL aufzurufen – unter dem Vorwand, der Zugang zu einem bestimmten Nutzerkonto werde ansonsten eingeschränkt. So stellten Bürgerrechtler in Ägypten fest, dass diese Angriffe seit 2023 zunehmen und auf Bürgerrechtler, Journalisten und Oppositionspolitiker abzielen. Unter anderem versuchten Angreifer auf diese Weise, Zugang zum Apple Account zu erhalten.


Ziel iCloud-Backup
Anfangs ignorierte der Angegriffene diese Nachrichten. Nach wiederholten ähnlichen Aufforderungen hat er dann doch die URL aufgerufen und sich mit seinen Kontodaten angemeldet. Auf diese Weise haben die Angreifer das Kennwort herausgefunden. Eine anschließend ausgelöste Zwei-Faktor-Authentifizierung hätte die Account-Übernahme vollendet. Glücklicherweise fiel dem iPhone-Nutzer der Ort des Zugangsversuchs auf: Dieser wurde in Kairo lokalisiert. Der Anwender befand sich zu dem Zeitpunkt allerdings im Libanon.

Multiple Angriffe auf vielen Ebenen
Die Bürgerrechtsorganisation Access Now dokumentierte mehrere Fälle im Mittleren Osten und Nordafrika. Neben Apple-Accounts nahmen die konzertierten Angriffe unter anderem Microsoft-Accounts sowie WhatsApp- und Signal-Messenger ins Visier. Verantwortlich ist eine organisierte Gruppe, die von Lookout Research „Bitter APT“ (APT = Advanced Persistent Threat) genannt wird. Im Android-Betriebssystem setzt diese zusätzlich auf ein Spyware-Framework namens ProSpy, welches sie in kompromittierte Apps integriert. Anscheinend, folgern die Sicherheitsforscher, lässt sich die Gruppe von verschiedensten Regierungsorganisationen beauftragen und stellt keine großen Ansprüche an die Legitimität der Angriffe.

Wachsamkeit ist gefragt
Bei Apple-Nutzern setzen die Angriffe auf Zermürbung, anstatt Lücken in der Software auszunutzen. Offenbar stellt iOS schwer überwindbare Hürden für Schadsoftware. Als Reaktion auf die von Pegasus ausgenutzten Lücken entwickelte Apple den Blockierungsmodus, den das Unternehmen exponierten und prominenten Persönlichkeiten empfiehlt. Bis heute ist laut Apple kein iPhone gehackt worden, welches in diesem Modus verwendet wurde.