Israelische Spähsoftware: Angriffe auf Nachrichtenwebseite in London und Behörden im Nahen Osten

Auch die Spionagesoftware Candiru wurde offenbar gegen Kritiker von Herrschern in Nahost gerichtet. Bereits durch das Abrufen von Behördenwebseiten in Iran, Syrien, im Jemen oder auch der Londoner Nachrichtenseite Middle East Eye könnten Besucher ins Visier der Auftraggeber geraten sein.

Israelische Spähsoftware: Angriffe auf Nachrichtenwebseite in London und Behörden im Nahen Osten

Dass Spähsoftware israelischer Unternehmen eingesetzt wurde, um Journalisten, Oppositionelle und Politiker auszuspionieren, wurde in diesem Jahr mit den Fällen Candiru und Pegasus bekannt. Nun gibt es neue Belege dafür, dass auch das einfache Abrufen bestimmter Webseiten Besucher schon zu Zielen der geheimen Spionagesoftware gemacht haben könnte.

Laut einem Bericht von Forschern des slowakischen IT-Sicherheitsunternehmens ESET mit Sitz im kanadischen Montreal gab es Verbindungen zwischen Angriffen auf hochrangige Webseiten im Nahen Osten und im Vereinigten Königreich und dem israelischen Unternehmen Candiru, wie der Guardian berichtet. Demnach werden Webseiten, deren Leser vom Benutzer der Malware als "interessante Ziele" eingestuft werden, durch sogenannte "Watering-Hole-Angriffe" durch Malware infiziert.


Der Malware-Benutzer kann so über den Besucher der Webseite bestimmte Merkmale herausfinden, darunter die Art des Browsers und des verwendeten Betriebssystems. In einigen Fällen kann der Malware-Benutzer dann einen "Exploit" starten und so den Computer eines einzelnen Ziels übernehmen.

Zu bekannten Zielen dieser Art von Angriffen gehören laut den Forschern die Nachrichtenseite Middle East Eye, die über unterschiedliche Themen berichtet – darunter saudische Menschenrechtsverstöße –, sowie mehrere Webseiten in Verbindung mit Regierungsministerien in Iran und im Jemen. Nicht jeder Besucher wird laut dem ESET-Bericht zwangsläufig durch Besuch der kompromittierten Webseiten zum Ziel. Doch waren diese erste Ausgangspunkte, um bestimmte Personen zu identifizieren, die dann ins Visier genommen wurden.

ESET-Forscher hatten im Jahr 2018 ein eigenes System entwickelt, um "Wasserlöcher" auf hochrangigen Webseiten aufzudecken, und fanden dadurch im Juli 2020 heraus, dass eine Webseite der iranischen Botschaft in Abu Dhabi mit einem bösartigen Code verseucht worden war. In der Folge zeigte sich, dass zahlreiche weitere Webseiten ins Visier genommen wurden, darunter ein Hisbollah-naher Fernsehsender, mehrere syrische Behörden und auch Internetanbieter sowie beispielsweise ein südafrikanisches staatliches Konglomerat für Luft- und Raumfahrt und Militärtechnologie.

Im Sommer dieses Jahres wurden die Hacking-Aktivitäten laut ESET wahrscheinlich beendet, als ein Bericht des Citizen Lab erschien, wonach Candiru-Spyware an Regierungen verkauft wurde, die mit gefälschten Webseiten von Black Lives Matter und Amnesty International verbunden waren und zum Hacken von Zielen missbraucht wurden. Opfer der Spyware fanden sich laut Microsoft in Israel und Iran, laut Citizen Lab war der Fall einer "politisch aktiven" Person in Westeuropa aufschlussreich.

Das in Tel Aviv ansässige Unternehmen Candiru wurde im Jahr 2014 gegründet und hat seither mehrmals seinen Namen geändert. Nach einem Forbes-Bericht hat Candiru möglicherweise Geschäfte mit Usbekistan, Saudi-Arabien und den Vereinigten Arabischen Emiraten gemacht.

Die israelische Entwicklerfirma NSO Group geriet mit ihrer Spionagesoftware Pegasus im Sommer weltweit in die Schlagzeilen. Ein Zusammenschluss von Journalisten hatte aufgedeckt, dass Pegasus – entgegen wiederholten Beteuerungen von NSO Group – missbraucht wurde. Sie konnten nachweisen, dass unter anderem mehrere Staats- und Regierungschefs sowie mindestens 180 Journalisten, Menschenrechtsverteidiger, Gewerkschafter, Diplomaten und mehrere Staats- und Regierungschefs ins Visier genommen wurden.

Zwei Prinzen der Vereinigten Arabischen Emirate (VAE) haben Berichten zufolge jeweils ihre eigene persönliche NSO-Spionagesoftware eingesetzt, unter anderem zu privaten Zwecken, und gegen Amtsträger in Großbritannien gerichtet. So hat der Vizepräsident und Premierminister der VAE, Scheich Muhammad bin Raschid Al Maktum, das Hacken von sechs Telefonen mit der Pegasus-Software angeordnet, die seiner Ex-Frau Prinzessin Haya bint al-Hussein, ihren Anwälten und ihrem Sicherheitsteam gehören, darunter Fiona Shackleton, eine prominente Anwältin und konservative Abgeordnete im britischen Oberhaus. In diesem Fall hatte die NSO Group die britischen Behörden über die Überwachung informiert, wohl auch um ihre Regelkonformität zu bezeugen. Die Informationen wurden Berichten zufolge von Cherie Blair, Ehefrau von Ex-Premierminister Tony Blair und für NSO als Anwältin tätig, an den Anwalt von Shackleton weitergegeben. Das Telefon von Prinzessin Haya wurde im Auftrag oder Wissen des Ex-Mannes elfmal gehackt, wobei 500 Bilder und etwa 65 Megabyte Daten, etwa 24 Stunden Tonaufzeichnungen, abgeschöpft wurden.

Mehr zum ThemaUSA setzen israelische NSO Group auf Sanktionsliste