Pegasus-Projekt

Wie die Spionagefirma überführt wurde

Die Süddeutsche Zeitung und ihre Projektpartner haben die NSO Group mit den Recherchen konfrontiert. Viele Vorwürfe weist die Firma zurück - mit wenig überzeugenden Argumenten.

Von Hannes Munzinger, Frederik Obermaier und Bastian Obermayer

18. Juli 2021 - 7 Min. Lesezeit

Die SZ, ihre internationalen Recherchepartner und die Organisation Forbidden Stories haben die NSO Group - jene Firma, die die Spionagesoftware Pegasus herstellt - mit den Erkenntnissen der Recherche konfrontiert und um Stellungnahme gebeten. Die NSO weist Vorwürfe kategorisch zurück und wirft der SZ und ihren Partnern falsche Behauptungen vor. “Viele davon sind unbestätigte Theorien, die ernsthafte Zweifel an der Zuverlässigkeit Ihrer Quellen sowie an der Grundlage Ihrer Geschichte aufkommen lassen”, heißt es in einem Schreiben der Firma. Ein Blick auf die Fakten:

Was die Daten verraten

Ausgangspunkt des Pegasus-Projekts waren Zehntausende Telefonnummern. Diese Daten stammen nach Informationen der SZ von Nutzern eines Spähprogramms, das die NSO entwickelt hat. Die Telefonnummern auf den Listen gehören demnach zu Personen, die für NSO-Kunden von Interesse waren und zur Überwachung vorausgewählt wurden. Die NSO bestreitet diesen Zusammenhang und verweist darauf, dass die Kunden diese Liste auch für andere Zwecke genutzt haben könnten. Die SZ und ihre Recherchepartner machen keine weiteren Angaben zur Herkunft der Daten, um den Quellenschutz zu wahren. Es finden sich auch Nummern auf der Liste, die offenkundig gar nicht ausgespäht werden konnten - etwa, weil es sich um Festnetzanschlüsse oder US-amerikanische Nummern handelt. Die NSO gibt an, dass Telefone in den USA mit Pegasus nicht ausgespäht werden können. Forensische Untersuchungen bestätigen das. Auch deshalb erheben die SZ und ihre Partner nicht den Vorwurf, dass alle Nummern auf dieser Liste tatsächlich zu einer Infektion mit Pegasus führten.

Welche weiteren Hinweise es gibt, dass die Daten von NSO stammen

2019 wurde bekannt, dass die NSO eine Sicherheitslücke in Whatsapp nutzbar gemacht hatte, um die Telefone von mehr als 1400 Personen mit Pegasus zu infizieren. Whatsapp klagt deshalb derzeit vor einem kalifornischen Gericht gegen die NSO. Einige Namen von Betroffenen fanden sich nun auch in den Daten des Pegasus-Projekts wieder. Daneben waren auch Nummern von Personen auf den Listen, in deren Fällen aus anderen Gründen öffentlich bekannt war, dass sie mit Pegasus attackiert worden waren - etwa weil sie selbst IT-Forensiker mit der Untersuchung ihrer Smartphones beauftragt hatten. Beispielsweise der emiratische Menschenrechtsaktivist Ahmed Mansur, der marrokkanische Journalist Omar Radi oder der saudische Aktivist Omar Abdulaziz .

Wie man Pegasus entdeckte

Aber woher wissen IT-Forensiker und Sicherheitsforscher überhaupt, wie man Pegasus aufspürt? Wie das Programm, wie sein Quellcode aussieht? Die Existenz der Spionagesoftware ist kein Geheimnis. Der Hersteller bewirbt sie bei Kunden und auf Konferenzen. 2015 veröffentlichte Wikileaks Hunderttausende E-Mails eines anderen Entwicklers von Spionagesoftware. Darin fand sich auch eine undatierte Werbebroschüre für Pegasus, die detailliert erklärte, wozu die Software vor sechs Jahren oder sogar noch früher schon fähig war.

Wie man verdächtige SMS mit NSO in Verbindung brachte

IT-Sicherheitsforscher begannen dann zu untersuchen, wie Pegasus auf das Smartphone einer Zielperson gelangt. Dafür analysierten sie Netzwerkinfrastruktur, also Webseiten sowie die dazugehörigen Domainnamen und IP-Adressen der Server. Ein Domainname ist beispielsweise www.sz.de, eine zugehörige IP-Adresse lautet 195.50.177.61. Links mit solchen Domainnamen konnte man in verdächtigen SMS finden. Beispielsweise in einer Nachricht an den Menschenrechtsaktivisten Ahmed Mansur. Diese Links führten die Forensiker der kanadischen Forschungseinrichtung Citizen Lab zu einem Netz von Internetseiten und Servern, die schon in einer früheren Spionage-Kampagne aufgefallen waren. Und folgende Indizienkette führte sie zur Firma NSO:

Die SMS an Ahmed Mansur enthielten Links auf diese Domain

sms.domain.xyz

(Die echten Domains sind längst nicht mehr aktiv, aber die SZ zeigt aus Sicherheitsgründen dennoch nur beispielhafte Domains und IP-Adressen)

Die Domain sms.domain.xyz kann man folgender IP-Adresse zuordnen:

53.9.102.45

Und die war den Forschern schon bei einer früheren Spionage-Kampagne aufgefallen. Zusammen mit 236 weiteren ähnlichen IP-Adressen.

Bei 19 dieser IP-Adressen fanden sie diesen HTML-Code. Nun suchten sie in historischen Daten nach weiteren IP-Adressen, bei denen dieser Code zu finden war.

Darunter war auch diese: 45.08.239.0 mit dem Domainnamen xxntqa.com.

In Registerdaten konnten sie einsehen, dass diese Domain von der Firma NSO registriert worden war.

Die SMS an Ahmed Mansur enthielten Links auf diese Domain

sms.domain.xyz

(Die echten Domains sind längst nicht mehr aktiv, aber die SZ zeigt aus Sicherheitsgründen dennoch nur beispielhafte Domains und IP-Adressen)

Die Domain sms.domain.xyz kann man folgender IP-Adresse zuordnen:

53.9.102.45

Und die war den Forschern schon bei einer früheren Spionage-Kampagne aufgefallen. Zusammen mit 236 weiteren ähnlichen IP-Adressen.

Bei 19 dieser IP-Adressen fanden sie diesen HTML-Code. Nun suchten sie in historischen Daten nach weiteren IP-Adressen, bei denen dieser Code zu finden war.

Darunter war auch diese: 45.08.239.0 mit dem Domainnamen xxntqa.com.

In Registerdaten konnten sie einsehen, dass diese Domain von der Firma NSO registriert worden war.

Diese Beweiskette führte noch in mehreren weiteren Fällen zu Servern, die der NSO klar zuzuordnen waren. Auch das Security Lab von Amnesty International nutzte diese Beweiskette für weitere Forschung zur NSO.

Wie man Pegasus identifizieren kann

Mansur hatte nicht auf die Links geklickt, aber die Forscher taten das später und konnten so beobachten, wie ihr iPhone zuerst gehackt wurde und dann Software herunterlud. In den heruntergeladenen Dateien entdeckten sie hundertfach das Wort Pegasus – offenbar hatte sich das Programm installiert, und die Dateien waren eine Kopie der Spionagesoftware. Und sie fanden Programmcode, der zu den Fähigkeiten von Pegasus passte, die in der geleakten Werbebroschüre beschrieben waren. Also beispielsweise Anrufe mitzuschneiden oder oder Chatnachrichten abzugreifen. Zudem waren auch im Code mehrere Domainnamen genannt, die Teil der oben erwähnten 237 verdächtigen Domainnamen aus einer früher beobachteten Kampagne waren.

Vor allem aber konnte man nun Teile der Pegasus-Software, sogenannte Prozesse, beobachten. Fortan konnten IT-Forensiker Telefone, bei denen sie eine Infektion mit Pegasus vermuteten, nach diesen Prozessen durchsuchen. Deren Spuren findet man in Systemdatenbanken des Betriebssystems. Dort wird zum Beispiel festgehalten, welcher Prozess ein Mobilfunknetz nutzt. Und man findet diese Aktivität nicht, wenn Telefone “sauber” sind, also ein frisch installiertes Betriebssystem haben. Bei einem Vergleich zwischen einem sauberen und einem infizierten Gerät fallen diese Prozesse also auf.

Claudio Guarnieri, der die Forschung zu Pegasus bei Amnesty International verantwortet, sagt dazu: “Aus meiner Sicht gibt es keinen Zweifel, dass das, was wir sehen, Pegasus ist. Die Merkmale sind sehr eindeutig, und alle Spuren, die wir sehen, bestätigen sich im Wesentlichen gegenseitig."

Was die forensischen Analysen zeigen

Das Security Lab von Amnesty International untersuchte für das Pegasus-Projekt 67 Geräte, deren Nummern in den Daten zu finden waren. Auf 37 davon fanden sich Spuren von Pegasus-Software; bei 23 Telefonen konnte eine Infektion nachgewiesen werden, bei den übrigen 14 zumindest Spuren eines Versuchs.

Die Forscher von Amnesty International stellten der NSO einen detaillierten Bericht über die daraus gewonnenen Erkenntnisse und ihre Methodik zur Verfügung. Darin waren alle technischen Spuren erläutert, aus denen die Forensiker schlossen, dass es sich um Spuren von Pegasus handelt. NSO dementierte diese neuen Forschungsergebnisse nicht, kritisierte aber die Bezugnahme auf frühere Untersuchungen, wie die oben beschriebene Beweiskette: “Insbesondere hängt Ihr Bericht von Annahmen ab, die frühere Berichte mit der NSO Group in Verbindung bringen, die wiederum auf ähnlichen Annahmen in Bezug auf noch frühere Berichte beruhen, ohne dass eine Verbindung zwischen den verschiedenen Ebenen der Berichte nachgewiesen werden kann, die für einen verantwortungsbewussten Journalisten ausreichend ist, um diese Schlussfolgerungen zu veröffentlichen. Wenn Forbidden Stories zusätzliche Beweise (keine Vermutungen) hat, die die Verbindung zwischen diesen früheren Berichten und NSO belegen, stellen Sie diese bitte zur Verfügung, damit NSO eine sinnvolle Möglichkeit zur Stellungnahme hat.”

Wie die NSO die Recherchen indirekt bestätigt

Die Recherchen zeigen, dass es sich bei den Daten um die Nummern handelt, die Käufer der NSO-Software als potenzielle Ausspähziele identifiziert haben. Die Anwälte der Firma schreiben hingegen in einem Brief an die SZ, diese seien viel eher “Teil einer größeren Liste von Nummern, die möglicherweise von Kunden der NSO Group für andere Zwecke genutzt wurden”. Die Recherche-Kooperation des Pegasus-Projekts erhob nie den Vorwurf, dass alle die Nummern auf der Liste tatsächlich mit der Software attackiert und abgehört worden wären - allein schon, weil sich darauf auch Festnetznummern finden, die von Pegasus nicht abgehört werden können. Der entscheidende Punkt aber ist: Das NSO-Schreiben bestätigt nun, dass solche Listen existieren.

In einem Schreiben an die Washington Post, die Teil des Pegasus-Projekt-Teams ist, äußerte die NSO die Vermutung, bei den Daten, die dem Rechercheverbund vorliegen, könnte es sich um sogenannte Home-Location- Register (HLR)-Daten handeln - ohne einzugestehen oder unmissverständlich zu dementieren, dass es sich um Daten handelt, die von NSO-Kunden genutzt wurden. HLR-Daten existieren für jedes Mobilgerät, es handelt sich um unverwechselbare Codes - eindeutige digitale Fingerabdrücke. Sie könnten genutzt werden, um herauszufinden, ob das Telefon gerade eingeschaltet ist und, wenn ja, in welchem Netz es eingeloggt ist, erklärte ein amerikanischer IT-Sicherheitsexperte dem Guardian. Von einer mit der NSO-Technologie vertrauten Person, die nicht namentlich genannt werden möchte, erfuhr das Pegasus-Projekt-Team, dass eine HLR-Datenabfrage Teil des NSO-Systems sei - und integraler Teil des Ausspähprozesses. So wurde es laut mehreren Quellen auch bei Vorführungen bei deutschen Behörden dargestellt.

Team

Text Hannes Munzinger, Frederik Obermaier und Bastian Obermayer
Digitales Storytelling Lea Weinmann
Digitales Design Felix Hunger