Der Angriff erfolgt geräuschlos. Keine aufgebrochene Tür, kein Knacken in der Telefonleitung, kein Verfolger auf den Fersen, der verraten könnte, dass die Überwachung begonnen hat. Pegasus schleicht sich auf Smartphones, und zwar so geschickt, dass die Opfer oft nicht einmal davon erfahren, dass sie ausspioniert wurden. Erst wenn sie vor Gericht stehen, öffentlich bloßgestellt oder unter Druck gesetzt werden und es keine andere Erklärung dafür gibt, dass intime Handybilder, private Gespräche oder Chats in die Hände von Dritten geraten sein müssen, wird offensichtlich: Sie wurden gehackt, ausgespäht und gläsern gemacht. Die Frage nach dem Wie bleibt aber in der Regel offen.

In vielen Fällen weltweit lautet die Antwort: mit Pegasus.

Die Spionagesoftware ist das Produkt der israelischen Software-Firma NSO Group. Die internationalen Recherchen des Pegasus-Projekts, an denen die Süddeutsche Zeitung beteiligt ist, erlauben einen tiefen Einblick in das gleichnamige Ausspäh-Programm: wozu es fähig ist und wie es angreift.

Seit Jahren verkauft die NSO Pegasus an staatliche Institutionen. In knapp fünfzig Staaten konnten IT-Forensiker bisher Spuren von Einsätzen der Software finden. Unter den Kunden sind oder waren Behörden autokratischer und diktatorischer Regierungen wie Saudi-Arabien, Aserbaidschan und Ruanda. Aber auch europäische Staaten wie Ungarn, Belgien, die Niederlande und Spanien. Sie alle können mithilfe der Software verschlüsselte Kommunikation von Zielpersonen mitlesen und mithören.

Für Geheimdienste und Ermittlungsbehörden muss mit der israelischen Software ein Traum in Erfüllung gegangen sein.

Mit diesem Vorteil wirbt die NSO gezielt um Kundschaft. In einer Broschüre schrieb die Firma vor einigen Jahren: „Vermeiden Sie unnötige Risiken: Eliminieren Sie die Notwendigkeit physischer Nähe zum Ziel oder zum Gerät.“

Abhören, beschatten, schriftliche Kommunikation auswerten, Passwörter abgreifen, bei vielen Zielpersonen, an vielen Orten gleichzeitig, mit der richtigen Lizenz sogar über Ländergrenzen hinweg: All das erscheint möglich, wenn man die Telefonnummer des Opfers kennt. Sie steht in der Regel am Anfang eines Angriffs.

Was über die nächsten Schritte bekannt ist, sind lediglich Teile eines Puzzles. Das genaue Vorgehen der Software hält NSO selbstverständlich geheim, selbst ausgewiesene Experten kennen nur Teile des Codes. Allerdings verfolgen IT-Sicherheitsforscher seit Jahren die Spuren der Software. Für das Pegasus-Projekt analysierten Forensiker des Security Lab von Amnesty International mit Pegasus infizierte Smartphones und ließen die Ergebnisse von Forschern des Citizen Lab der Universität Toronto unabhängig überprüfen. Aus diesen Untersuchungen und aus Gesprächen mit aktiven und ehemaligen Mitarbeitern, mit Kunden sowie mittels Informationen aus Gerichts- und Vertragsunterlagen lässt sich ein Bild über die Funktionsweise der Spionagesoftware zusammensetzen. Die Erkenntnisse beziehen sich vor allem auf das iPhone von Apple, da die vielen unterschiedlichen Android-Betriebssysteme individuelle Untersuchungen erschweren.

Die Kommandozentrale

Weil Menschen oft unterschiedliche Geräte mit unterschiedlichen Betriebssystemen nutzen oder auch mal schwerer, mal leichter zu erreichen sind, stellt Pegasus verschiedene Angriffsmöglichkeiten bereit. Die drei wichtigsten Strategien sind verseuchte Links in Nachrichten, Angriffe über Netzwerkumleitungen und sogenannte Zero-Click-Infektionen.

Der Klassiker: verseuchte Links

Das mag altmodisch und für ein so ausgefeiltes Spionagewerkzeug sogar plump erscheinen, aber je besser das sogenannte Social Engineering ist – also die Geschichte, in die eine solche verhängnisvolle Nachricht eingebettet ist –, desto höher die Erfolgswahrscheinlichkeit. Der mexikanische Journalist Jorge Carrasco bekam zum Beispiel eine Nachricht, die auf eine Geschichte auf der Nachrichtenseite Animal Político Bezug nahm, aber einen verseuchten Link enthielt:

„Guten Tag Jorge, ich möchte mit Ihnen den Artikel teilen, der heute von Animal Politico veröffentlicht wurde, und es scheint wichtig, ihn wieder aufzugreifen https://bit.ly/3z75m1m“

Die Nachrichten und Links sind ein Ansatzpunkt für Forscher und Menschenrechtsaktivisten, von NSO genutzte Server zu identifizieren und offenzulegen.

Die unsichtbare Attacke

Eine Spezialität von Pegasus ist die Installation, gegen die das Opfer komplett wehrlos ist, weil man davon in der Regel gar nichts mitbekommt: die „Zero-Click-Infection“. Seit 2019 beobachten die Forscher von Amnesty International eine Zunahme solcher Pegasus-Attacken.

Eine wichtige Rolle bei den jüngsten Zero-Click-Attacken spielt die Kurznachrichten-App iMessage , eine Eigenentwicklung von Apple. In mehreren Fällen konnten die Forscher nachvollziehen, dass sich diese App mit Apple-Accounts verband und die Telefone kurz darauf Befehle ausführten, die sie Pegasus zurechnen. In manchen Fällen steuerten auch die Telefonie- und die Musik- App des iPhones mutmaßliche NSO-Seiten an.

Auf mehreren Smartphones fanden die Forscher Spuren solcher Attacken. Im Falle einer Aktivistin lagen sie nur wenige Tage zurück, im Juni dieses Jahres. Sie nutzte ein aktuelles iPhone mit dem zu diesem Zeitpunkt aktuellsten Betriebssystem. Daraus lässt sich schließen, dass Apple die Schwachstellen mindestens bis zu diesem Zeitpunkt nicht gekannt hatte oder noch nicht hatte schließen können oder wollen und Pegasus-Kunden in der Lage waren, die neuesten iPhones zu infizieren. Amnesty International hat Apple daraufhin auf die Sicherheitslücke aufmerksam gemacht.

Für Hacker und Forscher kann die Suche nach solchen Schwachstellen und Sicherheitslücken in Betriebssystemen von Smartphones, wie sie die Firma NSO offenbar gezielt nutzt, sehr einträglich sein. Sie sind den IT-Konzernen wie Apple und Google selbst oft noch nicht bekannt. Für die Entdeckung solcher in der Branche „zero-day exploits“ genannter Sicherheitslecks loben Tech-Konzerne große Summen aus, damit sie Smartphone-Benuzern Updates zur Verfügung stellen können, die diese Lücken schließen sollen. Andererseits zahlen auch Geheimdienste oder Firmen wie NSO für solche Entdeckungen – aber nicht, um die Sicherheitslücken zu stopfen, sondern um sie für ihre Ausspäh-Programme zu nutzen.

Wann immer eine Schwachstelle von Herstellern wie Apple behoben wird, hat die NSO schon wieder weitere in der Hinterhand. Es ist ein ständiges Hase-und-Igel-Spiel – und meistens sind die Hersteller die Hasen.

Das verseuchte Netzwerk

Ein weiterer Weg, Pegasus auf einem Smartphone zu installieren, sind Manipulationen an einem Netzwerk, mit dem sich das Smartphone verbindet. Solche Eingriffe können sowohl in lokalen Wlan-Netzen als auch in Mobilfunknetzen vorgenommen werden. Solche Attacken sind aufwendiger und lokal begrenzt. Die NSO verkauft dafür Geräte, die vorgeben, ein Mobilfunkmast zu sein – sogenannte IMSI-Catcher.

Ist Pegasus erst einmal installiert, kann die Software auch aus jedem anderen Netz vom Kunden gesteuert werden. Aber auch bei einem Netzwerkbetreiber kann eine solche Umleitung eingerichtet sein. Vor allem, wenn Netzbetreiber staatlich kontrolliert sind, liegt diese Gefahr nahe.

Solche Attacken wurden im Fall des marokkanischen Journalisten Omar Radi beobachtet. Er war selbst in der Lage, einen Screenshot einer solchen Umleitung zu machen, die zu einem Server führte, den Forscher von Amnesty International der NSO Group zuordnen.

Wie funktioniert die Spionagemaschine?

Ist Pegasus auf einem dieser Wege heruntergeladen worden, installiert sich die Software unsichtbar und schaltet Schutzmechanismen im Betriebssystem des befallenen Smartphones aus. Beispielsweise werden automatische Updates unterdrückt, mit denen Sicherheitslücken normalerweise geschlossen werden, um möglichst lange auf dem infizierten Gerät funktionieren zu können. Nach allem, was bekannt ist, kann Pegasus nun nicht nur sämtliche Daten von dem Smartphone auf einen Server des NSO-Kunden übertragen, sondern ermöglicht diesem auch die Steuerung des befallenen Geräts aus der Ferne.

Polizisten und Geheimdienstler können nicht nur manuell das Mikrofon oder die Kamera des Ziel-Handys einschalten – sie können den Einsatz ihres digitalen Superspions auch präzise planen. Sie können den Terminkalender des Opfers auslesen und das Programm anweisen, zu einem bestimmten Zeitpunkt, beispielsweise während eines wichtigen Geschäftstermins, das Mikrofon einzuschalten – und auf diese Weise mithören. Oder aber jedes Mal die Kamera aktivieren, wenn das Smartphone an einem bestimmten Ort ist, etwa, wenn sich die Zielperson in einer dafür vorgesehenen Wohnung mit einer Affärenbekanntschaft trifft. Das Opfer bringt den Spion einfach mit.

Weil die Software den Kern des Smartphone steuert , sind auch Nachrichten in verschlüsselten Messengern wie Whatsapp oder den als besonders sicher geltenden Apps Signal und Threema einsehbar: Der Angreifer sieht, was man nur selbst zu sehen glaubt. Das ist besonders gefährlich für Journalistinnen und Journalisten, die verschlüsselt mit Quellen kommunizieren müssen, oder für Oppositionelle und Menschenrechtsaktivisten in autokratischen Staaten.

Dem Spion auf die Schliche kommen

Auch deshalb investieren Organisationen wie Amnesty International oder das Citizen Lab in die Erforschung der Spionagesoftware. Sie enttarnen die Vorgehensweisen und Strategien des digitalen Spions, dessen Auftraggeber und ganze Überwachungsoperationen.

Das funktioniert mit den Methoden der IT-Forensik. Informatiker analysieren Pegasus‘ Spuren auf Smartphones. Dazu durchsuchen sie automatisiert alle SMS, iMessage- und Whatsapp-Nachrichten, aber auch den Browserverlauf nach auffälligen Links oder solchen, die schon einmal mit NSO in Verbindung gebracht werden konnten.

Erstmals war es den Forschern von Citizen Lab 2016 gelungen, Pegasus aufzuspüren. Der Menschenrechtsaktivist Ahmed Mansur aus den Vereinigten Arabischen Emiraten hatte damals mehrere verdächtige SMS mit Links erhalten. Er war bereits in der Vergangenheit Ziel von digitalen Spionageattacken geworden. Deshalb leitete er die Nachrichten an die Forscher weiter. Die klickten auf die Links und beobachteten, wie die Spionagesoftware sich installierte.

In den heruntergeladenen Dateien entdeckten sie hundertfach das Wort Pegasus, in Code-Schnipseln wie diesen:

Zudem führten die Links, die an Mansur gesendet worden waren, die Forscher zu einem Netz von Internetseiten und Servern, die schon in einer früheren Spionage-Kampagne aufgefallen waren. Sogenannte Fingerabdrücke dieser Server stimmten mit solchen von Servern überein, die eindeutig der NSO Group zuzuordnen waren. Beispielsweise gelang das über historische Domain-Informationen, in denen dokumentiert wird, wer eine Website registriert. Darin fanden sich zum Beispiel Mailadressen von NSO-Mitarbeitern.

Nun kannten sie Teile von Pegasus und machten ihr Wissen öffentlich. Um die Funktion der Software nach dem Download zu verstehen, sind sogenannte Logfiles und Systemdatenbanken der befallenen Geräte wichtig. Ein Smartphone protokolliert in solchen Dateien zum Beispiel, welche Programme sich mit welchen Netzwerken verbunden haben und welche Datenmengen sie verbrauchten. In diesen Dateien tauchten Programme, sogenannte Prozesse, auf, die bei frisch installierten, nicht von Pegasus befallenen iPhones nicht zu beobachten waren. Manche waren offenbar so benannt, dass sie sich nur durch wenige Buchstaben von den Namen der echten Prozesse des iPhones unterschieden:

Diese Prozesse konnten die Forscher in zeitlichen Kontext zu anderen verdächtigen Vorgängen stellen. Einer dieser Prozesse hieß „bh“, die IT-Forensiker von Amnnesty International fanden ihn auf mehreren für das Pegasus-Projekt untersuchten iPhones. Auch in den von ihnen absichtlich heruntergeladenen Dateien aus den Nachrichten an Ahmed Mansur tauchte immer wieder „bh“ auf, dazu ein Begriff, der diese Abkürzung erklärt: Bridge Head – Brückenkopf. Im Militärjargon ist der Brückenkopf ein Vorposten in feindlichem Territorium, von dem aus weitere Angriffe gestartet werden. Das passt ins Bild von Pegasus, das eine mächtige Waffe gegen Privatheit und Sicherheit sein kann.