[ziesell]

Zitat:

Staatstrojaner: Einblicke in Intellexas Handel mit der Predator-Spyware

Ein Käufer, der will, dass die Predator-Spyware einen Neustart überdauert, wird gesondert zur Kasse gebeten. Exploits erwirbt Intellexa von externen Anbietern.



Sicherheitsforscher von Cisco Talos haben die Entwicklung und den Handel mit der von einigen Regierungen als Staatstrojaner eingesetzten Spionagesoftware Predator analysiert und gewähren in einem neuen Bericht ein paar Einblicke in dessen Lizenzmodell. Persistenz sei dabei beispielsweise eine Zusatzfunktion, deren Verwendbarkeit von den gewählten Lizenzoptionen des jeweiligen Kunden abhänge.

Der Spyware-Hersteller Intellexa lässt es sich also gesondert vergüten, wenn die Software in der Lage sein soll, einen Neustart eines infiltrierten Android- oder iOS-Gerätes zu überdauern. Noch im Jahr 2021 sei Predator zumindest unter Android gar nicht dazu in der Lage gewesen. Seit April 2022 biete der Hersteller seinen Kunden diese Option aber an.

Der Einsatz von Predator kostet Millionen

Auch die Kosten für den Einsatz von Predator bleiben in dem Bericht nicht unerwähnt. Die Forscher verweisen auf eine im Jahr 2021 von der New York Times veröffentlichte Angebotsbroschüre (PDF), in der die Spyware für 13,6 Millionen Euro angeboten wurde.

Enthalten waren in dem Angebot unter anderem 20 gleichzeitige Infektionen für Android- und iOS-Geräte, ein Ein-Klick-Exploit für den Erstzugriff, die für die Abwicklung erforderliche Hard- und Software, Projektpläne, Dokumentationen sowie ein 12-monatiger Garantiezeitraum. Weiterhin seien im Jahr 2022 Hinweise auf den Vertrieb der Nova-Plattform, dem Datenerfassungsmodul von Intellexa, für acht Millionen Euro aufgetaucht.

Angesichts dieser Preise wird aber auch schnell klar: Kommerzielle Spionagesoftware dieser Art ist nicht dafür gedacht, Normalbürger oder Kleinkriminelle zu überwachen. "Diese Lösungen sind für Kunden mit tiefen Taschen gedacht, und solche Ausgaben können nur von staatlich geförderten Stellen getätigt werden", so die Forscher.

Exploits werden von externen Anbietern erworben

Intellexa versuche sich durch spezielle Klauseln von jeglicher Verantwortung abzuschirmen, wenn ein Predator-Einsatz öffentlich aufgedeckt und auf den Anbieter zurückgeführt werde, heißt es weiter in dem Bericht. Die Übergabe der erforderlichen Hardware erfolge beispielsweise an Häfen oder Flughäfen, so dass der Hersteller behaupten könne, von deren tatsächlichem Einsatzort nichts zu wissen.

Die für die Infiltration der Zielgeräte erforderlichen Exploit-Ketten erwerbe Intellexa von externen Anbietern. Diese böten ihre Exploits oftmals im Rahmen eines Abo-Modells an, bei dem die Kunden Anspruch auf funktionsfähigen Ersatz haben, wenn eine erworbene Kette gepatcht wird. Intellexa sei zwar von ausnutzbaren Schwachstellen abhängig, das Risiko werde so jedoch auf die Exploit-Händler übertragen.

Die Predator-Spyware sei derart modular aufgebaut, dass sich spezifische Bestandteile für eine bestimmte Betriebssystemversion der Zielgeräte leicht aktualisieren und für Kunden bereitstellen ließen. Der Hersteller kann also schnell auf Android- und iOS-Updates reagieren und neu verfügbare Exploit-Ketten zeitnah implementieren.

Die Forscher haben ihre Erkenntnisse schon auf der Labscon 2023 im September vorgestellt. Eine Videoaufzeichnung von der Präsentation wurde kürzlich auf Youtube veröffentlicht.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]