Erst vor Kurzem sezierte die Google Threat Intelligence Group die mächtige Spyware Predator des Intellexa-Konsortiums noch einmal gründlich. Doch was damals als entscheidender Einblick in die Innereien des Staatstrojaners galt, war offenbar nur die Spitze des Eisbergs. Neue Untersuchungen des Threat Labs Teams des Apple-Spezialisten Jamf zeichnen nun ein Bild von einer Schadsoftware, deren technisches Niveau weit über bisherige Annahmen hinausgeht. Die Entwickler haben demnach Funktionen implementiert, die nicht nur der reinen Spionage dienen. Vielmehr verteidigt sich das Programm aktiv gegen Entdeckung und lernt aus Fehlern.

Schutzwall gegen Neugierige

Ein entscheidender Aspekt der neuen Erkenntnisse betrifft das Verhalten von Predator in Momenten des Scheiterns oder bei drohender Aufdeckung. Die Jamf-Experten haben einen hochspezialisierten „Kill Switch“ dokumentiert, der weit über einfache Selbstlöschungsroutinen hinausgeht. Diese Funktion dient ihnen zufolge als ultimativer Schutzwall gegen Sicherheitsforscher.

Wenn die Spyware erkennt, dass sie in einer Analyseumgebung ausgeführt wird oder wenn bestimmte Sicherheitsmechanismen des iPhones anschlagen, löst sie laut der Analyse den „Kill Switch“ aus. Dabei werden nicht nur Spuren verwischt. Die Software stellt den Betrieb auch gezielt ein, um ihre wertvollen Exploits und Kommunikationswege vor den Augen der Forensiker zu verbergen.

Diese Abwehrstrategie wird durch ein präzises Diagnosesystem ergänzt. Jamf gelang es, eine vollständige Taxonomie von Fehlercodes zu dokumentieren, die von 301 bis 311 reicht. Diese Codes fungieren als Feedback-Kanal für die Angreifer. Wenn ein Infektionsversuch fehlschlägt oder der Kill Switch aktiviert wird, sendet die Spyware automatisch eine verschlüsselte Statusmeldung an die Kontrollserver zurück.

Feedback an Kontrollserver

Die Angreifer erfahren dadurch genau, welche Sicherheitsmaßnahme oder welches Forscher-Tool die Entdeckung ausgelöst hat. Dieses Feedback-System verwandelt jede erfolgreiche Abwehrreaktion eines Betriebssystems in eine Informationsquelle, mit der die Angreifer ihre Werkzeuge für den nächsten Versuch gezielt nachbessern können.

Zusätzlich zu dieser Lernfähigkeit hat Predator weitere Schutzwälle gegen die Analyse durch Sicherheitsforscher hochgezogen. Die Experten entdeckten Funktionen zur aktiven Prozessüberwachung, die nach Spuren von Debug-Konsolen oder verdächtigen Root-CA-Zertifikaten suchen. Letztere werden in der IT-Forensik häufig zum Entschlüsseln von Datenverkehr eingesetzt.

Sogar die Erkennung von HTTP-Proxys ist integriert, um zu verhindern, dass Forscher die Kommunikation zwischen dem infizierten Gerät und den Command-and-Control-Servern abfangen können. Bemerkenswert ist zudem die Fähigkeit von Predator, den iOS-Entwicklermodus schlicht zu ignorieren oder als Warnsignal zu werten, um die eigene Tarnung aufrechtzuerhalten.

Vergleich mit Pegasus der NSO Group

Die Erkenntnisse unterstreichen die Professionalität der Intellexa Alliance und zeigen laut den Forschern, dass die Grenze zwischen staatlichen Akteuren und kommerziellen Spyware-Anbietern technologisch kaum noch existiert. Predator ist kein statisches Werkzeug, sondern ein sich dynamisch anpassendes System. Für Nutzer, die aufgrund ihres Profils ins Visier solcher Software geraten könnten, bedeutet das eine neue Stufe der Bedrohung: Die Sicherheit eines Systems wird hier zum unfreiwilligen Lehrer für den Angreifer.

Im Vergleich zum berüchtigten Staatstrojaner Pegasus der NSO Group, der oft durch Zero-Click-Exploits ohne jegliches Zutun des Opfers Endgeräte infiziert, setzt Predator primär auf One-Click-Angriffe via präparierte Links. Technisch gelten beide Plattformen in ihrer Funktionsfülle beim Ausspähen von Mikrofonen, Kameras und verschlüsselten Chats als ebenbürtig. Pegasus ist aber primär auf maximale Unsichtbarkeit und lautlose Infiltration optimiert. Predator sticht durch seine aggressiven Anti-Analyse-Techniken hervor. Das Programm scheint darauf ausgelegt zu sein, proaktiv gegen die IT-Security-Community zu kämpfen.

Die Betreiber der Plattform zum Ausliefern und Steuern des mächtigen Predator sahen sich 2024 genötigt, mehrere zugehörige Server und andere Komponenten der IT-Infrastruktur erneut offline zu nehmen. Die Strategie von Menschenrechtsorganisationen und IT-Sicherheitsforschern, schwarze Schafe in der Staatstrojaner-Branche zu benennen, schien damit zumindest kurzzeitig aufzugehen. Die US-Regierung verschärfte damals auch die Sanktionen gegen die Gruppe, die sich nun auch gegen den Intellexa-Gründer Tal Dilian und seine rechte Hand, Sara Hamou, persönlich richten. Die Intellexa Alliance gilt als Verbund zwielichtiger europäischer Firmen, der nicht nur Diktatoren mit Cyberwaffen beliefert. In Deutschland zählt die Hackerbehörde Zitis zu ihren Kunden.

(dahe)

Die EU-Kommission soll sich bei ihren Deregulierungsplänen in den Bereichen Datenschutz und KI maßgeblich von Big Tech inspiriert haben lassen. Das geht aus einer Analyse der NGOs Corporate Europe Observatory (CEO) und LobbyControl zum sogenannten „Digitalen Omnibus“ hervor. Demnach entsprechen viele Pläne der Kommission für das Gesetzespaket den Wünschen der IT-Branche, die mit immer mehr Geld in Brüssel für möglichst wenig Regulierung lobbyiert.

Den digitalen Omnibus hatte die Kommission im Spätherbst vorgestellt. Mit dem Gesetzespaket will sie laut eigener Aussage Bürokratie abbauen, Regeln entschlacken und überlappende Gesetze harmonisieren. Im Blick hat sie dabei den Datenschutz, Regeln für die Datennutzung, Cyber-Sicherheit sowie die KI-Verordnung. Vereinfachte Regeln sollen die Wettbewerbsfähigkeit Europas und vor allem europäischer Unternehmen verbessern, so die EU-Kommission.

Doch vieles im Kommissionsentwurf lese sich wie eine Wunschliste ausgerechnet US-amerikanischer Tech-Konzerne, schreiben CEO und LobbyControl: „Ironischerweise wird diese Deregulierungsagenda von der Kommission als Mittel zur Steigerung der Wettbewerbsfähigkeit der EU verkauft – obwohl sie damit in Wirklichkeit die US-amerikanischen Big-Tech-Unternehmen aktiv stärkt, die den Markt dominieren.“

Zugleich baut dieser „beispiellose Angriff auf digitale Rechte“ den beiden Nichtregierungsorganisationen zufolge wichtige Schutzmechanismen für EU-Bürger:innen ab. Diese sorgten dafür, dass die Daten aller sicher sind, Regierungen und Unternehmen zur Rechenschaft gezogen werden können, und Menschen davor bewahrt werden, dass unkontrollierte KI-Systeme über ihre Lebenschancen entscheiden.

Akribische Detailanalyse

Diese Schlussfolgerungen untermauern die NGOs mit einem detaillierten Vergleich des Gesetzentwurfs mit öffentlich bekannten Lobby-Forderungen der Tech-Branche, darunter Konzernen wie Google, Microsoft und Meta. So will die Kommission beispielsweise pseudonymisierte Daten überwiegend nicht mehr als personenbezogene Daten behandelt wissen. Setzt sie sich im laufenden Gesetzgebungsprozess durch, würden solche Daten aus dem Geltungsbereich der Datenschutz-Grundverordnung (DSGVO) herausfallen.

Was wie ein unscheinbares Detail klingt, hätte weitreichende Folgen. Damit hätten es unter anderem Tracking-Firmen und Datenhändler einfacher, die digitalen Spuren von Internet-Nutzer:innen zusammenzuführen, auszuwerten und zu monetarisieren. Zudem lassen sich aus pseudonymisierten Daten relativ einfach Einzelpersonen re-identifizieren, wie nicht zuletzt unsere Databroker-Files-Recherche gezeigt hat.

Für eine derartige Änderung setzt sich die Digitalbranche schon seit langem ein. So forderte der Lobby-Verband Digital Europe in einem Empfehlungspapier, das Schutzniveau für pseudonymisierte Daten abzusenken. Von Google bis Meta sind praktisch alle führenden Tech-Unternehmen in der Organisation vertreten. In die gleiche Richtung argumentiert an anderer Stelle auch Microsoft Deutschland: Die Änderung „wäre besonders wichtig, um die Entwicklung neuer Technologien, einschließlich (generativer) KI, zu unterstützen“, heißt es in einer Stellungnahme des US-Unternehmens zum EU Data Act.

Auf Anfrage des Online-Mediums Euractiv (€) wies ein Sprecher der EU-Kommission die Vorwürfe zurück. „Der Digitale Omnibus ist das Ergebnis eines umfassenden und transparenten Prozesses, in dem Zivilgesellschaft, kleine und mittlere Betriebe sowie akademische Einrichtungen gleichermaßen die Möglichkeit hatten, sich einzubringen.“ Der Digitale Omnibus verfolge ein klares Ziel, so der Sprecher weiter: „Die Förderung eines sicheren und wettbewerbsfähigen digitalen Binnenmarktes, der allen europäischen Bürgerinnen und Bürgern sowie allen europäischen Unternehmen unabhängig von ihrer Größe dient“.

Warnungen bewahrheiten sich

Doch das von den NGOs dokumentierte Muster wiederholt sich an zahlreichen Stellen. Mit Industrieforderungen praktisch deckungsgleiche Vorschläge finden sich zum Beispiel in Abschnitten zur Beschneidung des Auskunftsrechts über bei Unternehmen gespeicherte Daten oder beim geplanten Wegfall von Schutzvorkehrungen bei automatisiert getroffenen Entscheidungen. Auch eine Klarstellung zur Nutzbarkeit personenbezogener Daten für das Training von KI-Systemen hatte sich die Industrie gewünscht.

Bereits im Vorfeld der Omnibus-Veröffentlichung warnten zivilgesellschaftliche NGOs, Gewerkschaften und Verbraucherschutzorganisationen vor einem „der größten Rückschritte für digitale Grundrechte in der Geschichte der EU“. Der als „technische Straffung“ der EU-Digitalgesetze verkaufte Vorstoß sei „in Wirklichkeit ein Versuch, heimlich Europas stärkste Schutzmaßnahmen gegen digitale Bedrohungen abzubauen“, hieß es in einem Brief, den über 120 Organisationen unterzeichnet haben, darunter European Digital Rights (EDRi), Amnesty International und Wikimedia Deutschland.

Die Befürchtungen haben sich bewahrheitet, wie schon erste Analysen nach der Vorstellung des Omnibusses offengelegt haben. Überraschend ist dies gleichwohl nicht: Die Verbesserung der Wettbewerbsfähigkeit der EU zählt zu einem der erklärten Ziele der Ende 2024 wiedergewählten EU-Kommission unter der konservativen Präsidentin Ursula von der Leyen. Zuvor schlugen zwei wegweisende, von der EU in Auftrag gegebene Berichte europäischer Spitzenpolitiker, der sogenannte Draghi– sowie der Letta-Bericht, einen teils drastischen Abbau von Regulierung vor.

Lobbyist:innen umgarnen rechtsaußen-Parteien

Bei eher linksstehenden Parteien ist dieser Ruf nach Deregulierung auf ein überwiegend negatives Echo gestoßen. Ganz anders die Reaktion rechter und rechtsradikaler Parteien, die bei der letzten EU-Parlamentswahl zugelegt hatten und ihren Einfluss deutlich steigern konnten. Traditionell zeigen sich solche Parteien zum einen wirtschaftsliberalen Ansätzen gegenüber aufgeschlossen. Zum anderen lassen sie kaum eine Gelegenheit ungenutzt, Gesetzgebung aus Brüssel kurz und klein zu schlagen.

Dass sich die Berührungsängste der Europäischen Volkpartei (EVP), der auch von der Leyen angehört, zu Rechtsaußen-Fraktionen in Grenzen halten, hatte die Kommissionpräsidentin wiederholt ausgesprochen. Inzwischen ist daraus gelebte Praxis geworden: Bereits mehrfach machten moderate Konservative im EU-Parlament gemeinsame Sache mit der extremen Rechten, um beispielsweise das Lieferkettengesetz entscheidend zu schwächen. Eine Zusammenarbeit beim digitalen Omnibus zeichnet sich jetzt schon ab.

Die verschobenen Machtverhältnisse machen sich auch beim Lobbying bemerkbar, wie Corporate Europe Observatory und LobbyControl aufzeigen. Vor allem das Trump-freundliche Meta, das unter anderem Facebook, Instagram und WhatsApp betreibt, sucht offenbar gezielt die Nähe zu Rechtsaußen-Politiker:innen.

So hatten sich Meta-Lobbyist:innen laut der Analyse in der gesamten vorangegangenen Legislaturperiode nur ein einziges Mal mit einem Abgeordneten einer einschlägigen Fraktion getroffen. Seit im Sommer 2024 das Parlament neu bestellt wurde, lassen sich inzwischen 38 Treffen zwischen Meta und Abgeordneten der „Patrioten für Europa“ oder „Europäische Konservative und Reformer“ dokumentieren. Bei den Treffen sei der Digitale Omnibus eine „Schlüsselpriorität“ gewesen, so die NGOs.

„Die Lobbying-Strategie der großen Technologiekonzerne in den USA, wo sie sich mit der Trump-Administration verbündet haben, scheint nun auch auf das Europäische Parlament ausgeweitet worden zu sein“, schreiben die NGOs.

In der Nacht zum Mittwoch dieser Woche hat Fortinet Updates unter anderem für eine kritische Sicherheitslücke in FortiSIEM veröffentlicht. Inzwischen ist ein Proof-of-Concept-Exploit öffentlich verfügbar. Das vereinfacht es bösartigen Akteuren, die Sicherheitslücke zu missbrauchen. Angriffe darauf werden daher deutlich wahrscheinlicher. Admins sollten spätestens jetzt die Aktualisierungen anwenden.

Es geht um die Sicherheitslücke mit dem Schwachstelleneintrag CVE-2025-64155 (CVSS 9.4, Risiko „kritisch“). Durch sorgsam präparierte TCP-Anfragen können Angreifer aus dem Netz Schadcode einschleusen, der zur Ausführung gelangt. Ursächlich ist eine unzureichende Filterung von Elementen, die in Betriebssystembefehlen verwendet werden. Die Fehler korrigieren die FortiSIEM-Versionen 7.4.1, 7.3.5, 7.2.7 und 7.1.9; ältere Fassungen müssen zum Stopfen des Sicherheitslecks auf diese Stände migriert werden.

Die Schwachstelle wurde von IT-Forschern des Unternehmens horizon3.ai entdeckt. Diese haben zudem einen Proof-of-Concept-Exploit entwickelt und auf Github öffentlich bereitgestellt. Ihr Bericht erklärt die Sicherheitslücke detailliert. Zudem haben die IT-Forscher beispielhaft Anzeichen für Kompromittierungen (Indicators of Compromise, IOCs) aufgeführt.

Angriffsanzeichen in Log-Datei

Demzufolge landen Nachrichteninhalte des verwundbaren phMonitor-Dienstes in Protokolldateien im Ordner „/opt/phoenix/log/phoenix.logs“. In diesen Log-Dateien müssen Admins nach Einträgen mit „PHL_ERROR“ Ausschau halten. Dort finden sie die URL, von der Schadcode heruntergeladen, und die Information, in welche Datei auf dem System er dann geschrieben wurde.

Die horizon3.ai-Forscher geben an, dass sie die nun geschlossene Sicherheitslücke im Rahmen der Analyse der FortiSIEM-Sicherheitslücke CVE-2025-25256 aus dem vergangenen August entdeckt haben. Auch da stand Exploit-Code für das Sicherheitsleck bereit.

(dmk)