NSO Group nutzt WhatsApp-Exploits trotz Klage von Meta weiter

TEL AVIV / MÜNCHEN (IT BOLTWISE) – Die jüngsten Enthüllungen im Rechtsstreit zwischen Meta und der NSO Group werfen ein neues Licht auf die anhaltenden Sicherheitsbedrohungen durch Spyware.

Die NSO Group, ein israelischer Anbieter von Überwachungssoftware, steht erneut im Fokus, nachdem bekannt wurde, dass sie weiterhin Exploits gegen WhatsApp einsetzt, um ihre Pegasus-Spyware zu installieren. Dies geschah trotz einer laufenden Klage von Meta, dem Mutterkonzern von WhatsApp. Die veröffentlichten Gerichtsunterlagen zeigen, dass NSO Group wiederholt Wege fand, die Sicherheitsmaßnahmen von WhatsApp zu umgehen und Pegasus auf Zielgeräten zu installieren. Bereits im Mai 2019 hatte WhatsApp einen hochentwickelten Cyberangriff abgewehrt, der eine Schwachstelle im Videoanrufsystem ausnutzte, um Pegasus unbemerkt zu installieren. Diese Schwachstelle, bekannt als CVE-2019-3568, war ein kritischer Pufferüberlauf im Sprachaufrufsystem. Die neuen Dokumente enthüllen, dass NSO Group einen weiteren Installationsvektor namens Erised entwickelt hatte, der ebenfalls WhatsApp-Server nutzte, um Pegasus zu installieren. Dieser Zero-Click-Exploit, der das Telefon eines Opfers ohne dessen Interaktion kompromittieren konnte, wurde erst nach Mai 2020 neutralisiert, was darauf hindeutet, dass er auch nach der Klageeinreichung im Oktober 2019 eingesetzt wurde. Erised ist nur einer von vielen Malware-Vektoren, die NSO Group entwickelt hat, um Pegasus über WhatsApp zu verbreiten. Dazu gehören auch die Vektoren Heaven und Eden, wobei letzterer ein Codename für CVE-2019-3568 ist und etwa 1.400 Geräte betraf. NSO Group hat zugegeben, dass sie diese Exploits durch das Extrahieren und Dekompilieren des WhatsApp-Codes entwickelt hat. Sie haben WhatsApp rückentwickelt und einen eigenen ‚WhatsApp Installation Server‘ (WIS) entworfen, um manipulierte Nachrichten zu senden, die ein legitimer WhatsApp-Client nicht senden könnte. Diese Nachrichten wurden über WhatsApp-Server geleitet, um Zielgeräte zur Installation des Pegasus-Spyware-Agenten zu veranlassen, was gegen Bundes- und Landesgesetze sowie die Nutzungsbedingungen von WhatsApp verstößt. Insbesondere nutzte Heaven manipulierte Nachrichten, um die Signalisierungsserver von WhatsApp zu zwingen, Zielgeräte zu einem von NSO Group kontrollierten Drittanbieter-Relay-Server zu leiten. Serverseitige Sicherheitsupdates von WhatsApp Ende 2018 veranlassten NSO Group, bis Februar 2019 einen neuen Exploit namens Eden zu entwickeln, der auf Relays von WhatsApp statt auf eigene Server setzte. NSO Group weigerte sich, anzugeben, ob sie nach dem 10. Mai 2020 weitere WhatsApp-basierte Malware-Vektoren entwickelt hat. Sie gab jedoch zu, dass die Malware-Vektoren erfolgreich Pegasus auf ‚zwischen Hunderten und Zehntausenden‘ von Geräten installierten. Die Dokumente bieten auch einen Einblick, wie Pegasus auf einem Zielgerät über WhatsApp installiert wird und dass es die NSO Group ist, die die Spyware betreibt, und nicht der Kunde, was frühere Behauptungen des israelischen Unternehmens widerlegt. NSO Group hat wiederholt behauptet, dass ihr Produkt zur Bekämpfung schwerer Kriminalität und Terrorismus eingesetzt werden soll. Sie hat auch darauf bestanden, dass ihre Kunden für die Verwaltung des Systems verantwortlich sind und Zugang zu den gesammelten Informationen haben. Im September 2024 reichte Apple einen Antrag ein, seine Klage gegen NSO Group freiwillig zurückzuziehen, da sich das Risikolandschaft verändert hat und die Offenlegung kritischer ‚Bedrohungsinformationen‘ droht. In den Zwischenjahren hat der iPhone-Hersteller kontinuierlich neue Sicherheitsfunktionen hinzugefügt, um es schwieriger zu machen, Söldnerspyware-Angriffe durchzuführen. Vor zwei Jahren führte Apple den Lockdown-Modus ein, um die Gerätesicherheit zu erhöhen, indem die Funktionalität in verschiedenen Apps wie FaceTime und Nachrichten reduziert und Konfigurationsprofile blockiert wurden. Anfang dieser Woche tauchten Berichte über einen neuen Sicherheitsmechanismus in Beta-Versionen von iOS 18.2 auf, der das Telefon automatisch neu startet, wenn es 72 Stunden lang nicht entsperrt wird. Dies erfordert, dass Benutzer, einschließlich Strafverfolgungsbehörden, die möglicherweise Zugriff auf die Telefone von Verdächtigen haben, das Passwort erneut eingeben müssen, um auf das Gerät zuzugreifen. Magnet Forensics, das ein Datenextraktionstool namens GrayKey anbietet, bestätigte die ‚Inaktivitäts-Neustart‘-Funktion und erklärte, dass der Auslöser mit dem Sperrzustand des Geräts verbunden ist und dass ’sobald ein Gerät in einen gesperrten Zustand übergegangen ist und innerhalb von 72 Stunden nicht entsperrt wurde, es neu gestartet wird.‘ ‚Aufgrund des neuen Inaktivitäts-Neustart-Timers ist es jetzt wichtiger denn je, dass Geräte so schnell wie möglich abgebildet werden, um die Erfassung der verfügbaren Daten sicherzustellen‘, fügte es hinzu.