Die lernende Bedrohung: Predator-Spyware ist raffinierter als gedacht

Erst vor Kurzem sezierte die Google Threat Intelligence Group die mächtige Spyware Predator des Intellexa-Konsortiums noch einmal gründlich. Doch was damals als entscheidender Einblick in die Innereien des Staatstrojaners galt, war offenbar nur die Spitze des Eisbergs. Neue Untersuchungen des Threat Labs Teams des Apple-Spezialisten Jamf zeichnen nun ein Bild von einer Schadsoftware, deren technisches Niveau weit über bisherige Annahmen hinausgeht. Die Entwickler haben demnach Funktionen implementiert, die nicht nur der reinen Spionage dienen. Vielmehr verteidigt sich das Programm aktiv gegen Entdeckung und lernt aus Fehlern.

Schutzwall gegen Neugierige

Ein entscheidender Aspekt der neuen Erkenntnisse betrifft das Verhalten von Predator in Momenten des Scheiterns oder bei drohender Aufdeckung. Die Jamf-Experten haben einen hochspezialisierten „Kill Switch“ dokumentiert, der weit über einfache Selbstlöschungsroutinen hinausgeht. Diese Funktion dient ihnen zufolge als ultimativer Schutzwall gegen Sicherheitsforscher.

Wenn die Spyware erkennt, dass sie in einer Analyseumgebung ausgeführt wird oder wenn bestimmte Sicherheitsmechanismen des iPhones anschlagen, löst sie laut der Analyse den „Kill Switch“ aus. Dabei werden nicht nur Spuren verwischt. Die Software stellt den Betrieb auch gezielt ein, um ihre wertvollen Exploits und Kommunikationswege vor den Augen der Forensiker zu verbergen.

Diese Abwehrstrategie wird durch ein präzises Diagnosesystem ergänzt. Jamf gelang es, eine vollständige Taxonomie von Fehlercodes zu dokumentieren, die von 301 bis 311 reicht. Diese Codes fungieren als Feedback-Kanal für die Angreifer. Wenn ein Infektionsversuch fehlschlägt oder der Kill Switch aktiviert wird, sendet die Spyware automatisch eine verschlüsselte Statusmeldung an die Kontrollserver zurück.

Feedback an Kontrollserver

Die Angreifer erfahren dadurch genau, welche Sicherheitsmaßnahme oder welches Forscher-Tool die Entdeckung ausgelöst hat. Dieses Feedback-System verwandelt jede erfolgreiche Abwehrreaktion eines Betriebssystems in eine Informationsquelle, mit der die Angreifer ihre Werkzeuge für den nächsten Versuch gezielt nachbessern können.

Zusätzlich zu dieser Lernfähigkeit hat Predator weitere Schutzwälle gegen die Analyse durch Sicherheitsforscher hochgezogen. Die Experten entdeckten Funktionen zur aktiven Prozessüberwachung, die nach Spuren von Debug-Konsolen oder verdächtigen Root-CA-Zertifikaten suchen. Letztere werden in der IT-Forensik häufig zum Entschlüsseln von Datenverkehr eingesetzt.

Sogar die Erkennung von HTTP-Proxys ist integriert, um zu verhindern, dass Forscher die Kommunikation zwischen dem infizierten Gerät und den Command-and-Control-Servern abfangen können. Bemerkenswert ist zudem die Fähigkeit von Predator, den iOS-Entwicklermodus schlicht zu ignorieren oder als Warnsignal zu werten, um die eigene Tarnung aufrechtzuerhalten.

Vergleich mit Pegasus der NSO Group

Die Erkenntnisse unterstreichen die Professionalität der Intellexa Alliance und zeigen laut den Forschern, dass die Grenze zwischen staatlichen Akteuren und kommerziellen Spyware-Anbietern technologisch kaum noch existiert. Predator ist kein statisches Werkzeug, sondern ein sich dynamisch anpassendes System. Für Nutzer, die aufgrund ihres Profils ins Visier solcher Software geraten könnten, bedeutet das eine neue Stufe der Bedrohung: Die Sicherheit eines Systems wird hier zum unfreiwilligen Lehrer für den Angreifer.

Im Vergleich zum berüchtigten Staatstrojaner Pegasus der NSO Group, der oft durch Zero-Click-Exploits ohne jegliches Zutun des Opfers Endgeräte infiziert, setzt Predator primär auf One-Click-Angriffe via präparierte Links. Technisch gelten beide Plattformen in ihrer Funktionsfülle beim Ausspähen von Mikrofonen, Kameras und verschlüsselten Chats als ebenbürtig. Pegasus ist aber primär auf maximale Unsichtbarkeit und lautlose Infiltration optimiert. Predator sticht durch seine aggressiven Anti-Analyse-Techniken hervor. Das Programm scheint darauf ausgelegt zu sein, proaktiv gegen die IT-Security-Community zu kämpfen.

Die Betreiber der Plattform zum Ausliefern und Steuern des mächtigen Predator sahen sich 2024 genötigt, mehrere zugehörige Server und andere Komponenten der IT-Infrastruktur erneut offline zu nehmen. Die Strategie von Menschenrechtsorganisationen und IT-Sicherheitsforschern, schwarze Schafe in der Staatstrojaner-Branche zu benennen, schien damit zumindest kurzzeitig aufzugehen. Die US-Regierung verschärfte damals auch die Sanktionen gegen die Gruppe, die sich nun auch gegen den Intellexa-Gründer Tal Dilian und seine rechte Hand, Sara Hamou, persönlich richten. Die Intellexa Alliance gilt als Verbund zwielichtiger europäischer Firmen, der nicht nur Diktatoren mit Cyberwaffen beliefert. In Deutschland zählt die Hackerbehörde Zitis zu ihren Kunden.

(dahe)