Neue Gerichtsdokumente haben eine umfangreiche Cyberspionage-Kampagne der israelischen NSO Group aufgedeckt, bei der systematisch mehrere Zero-Day-Schwachstellen im Messenger-Dienst WhatsApp ausgenutzt wurden. Die Enthüllungen zeigen, wie der Entwickler der berüchtigten Pegasus-Spyware über einen Zeitraum von zwei Jahren drei verschiedene Exploit-Ketten entwickelte und einsetzte.
Chronologischer Ablauf der Exploit-Entwicklung
Die erste Angriffswelle basierte auf einem als „Heaven“ bezeichneten Exploit, der bis April 2018 aktiv war. Dabei nutzte NSO Group einen modifizierten WhatsApp Installation Server (WIS), der sich als legitimer Client tarnte und die Installation der Pegasus-Malware über NSO-kontrollierte Server ermöglichte.
Nach der Entdeckung und Neutralisierung von „Heaven“ entwickelte das Unternehmen den „Eden“-Exploit, der bis Mai 2019 etwa 1.400 Geräte kompromittierte. Trotz laufender rechtlicher Auseinandersetzungen wurde ein dritter Exploit namens „Erised“ implementiert, der bis Mai 2020 aktiv blieb.
Technische Implementierung der Angriffe
Die forensische Analyse zeigt, dass NSO Group durch Reverse Engineering des WhatsApp-Codes die Schwachstellen identifizierte. Der entwickelte maligne Client konnte speziell präparierte Nachrichten über die WhatsApp-Server versenden, die von regulären Clients nicht hätten generiert werden können.
Automatisierte Infektionskette
Die Pegasus-Installation wurde durch eine benutzerfreundliche Oberfläche vereinfacht. Angreifer mussten lediglich die Telefonnummer des Ziels eingeben, woraufhin die Malware-Verteilung automatisch erfolgte. Nach Unternehmensangaben wurden „zwischen hunderten und zehntausenden“ Geräte infiltriert.
Pegasus-Funktionalität und Datenzugriff
Die Spionage-Software ermöglicht weitreichenden Zugriff auf iOS- und Android-Geräte, einschließlich:
– Überwachung von Textnachrichten und Anrufen
– GPS-Standortverfolgung
– Zugriff auf gespeicherte Passwörter
– Extraktion von App-Daten
Diese Enthüllungen unterstreichen die wachsende Bedrohung durch kommerzielle Spionage-Software und die Notwendigkeit verbesserter Sicherheitsmaßnahmen für Kommunikationsplattformen. Obwohl WhatsApp die bekannten Angriffsvektoren mittlerweile abgesichert hat, bleibt die Gefahr neuer Exploit-Entwicklungen bestehen. Nutzer sollten ihre Geräte stets auf dem aktuellen Sicherheitsstand halten und verdächtige Aktivitäten umgehend melden. Für Unternehmen und Organisationen empfiehlt sich die Implementierung mehrschichtiger Sicherheitskonzepte und regelmäßiger Security-Audits.
