Pegasus-Projekt
Wie die Spionagefirma überführt wurde
Die SZ, ihre internationalen Recherchepartner und die Organisation Forbidden Stories haben die NSO Group - jene Firma, die die Spionagesoftware Pegasus herstellt - mit den Erkenntnissen der Recherche konfrontiert und um Stellungnahme gebeten. Die NSO weist Vorwürfe kategorisch zurück und wirft der SZ und ihren Partnern falsche Behauptungen vor. “Viele davon sind unbestätigte Theorien, die ernsthafte Zweifel an der Zuverlässigkeit Ihrer Quellen sowie an der Grundlage Ihrer Geschichte aufkommen lassen”, heißt es in einem Schreiben der Firma. Ein Blick auf die Fakten:
Was die Daten verraten
Ausgangspunkt des Pegasus-Projekts waren Zehntausende Telefonnummern. Diese Daten stammen nach Informationen der SZ von Nutzern eines Spähprogramms, das die NSO entwickelt hat. Die Telefonnummern auf den Listen gehören demnach zu Personen, die für NSO-Kunden von Interesse waren und zur Überwachung vorausgewählt wurden. Die NSO bestreitet diesen Zusammenhang und verweist darauf, dass die Kunden diese Liste auch für andere Zwecke genutzt haben könnten. Die SZ und ihre Recherchepartner machen keine weiteren Angaben zur Herkunft der Daten, um den Quellenschutz zu wahren. Es finden sich auch Nummern auf der Liste, die offenkundig gar nicht ausgespäht werden konnten - etwa, weil es sich um Festnetzanschlüsse oder US-amerikanische Nummern handelt. Die NSO gibt an, dass Telefone in den USA mit Pegasus nicht ausgespäht werden können. Forensische Untersuchungen bestätigen das. Auch deshalb erheben die SZ und ihre Partner nicht den Vorwurf, dass alle Nummern auf dieser Liste tatsächlich zu einer Infektion mit Pegasus führten.
Welche weiteren Hinweise es gibt, dass die Daten von NSO stammen
2019 wurde bekannt, dass die NSO eine Sicherheitslücke in Whatsapp nutzbar gemacht hatte, um die Telefone von mehr als 1400 Personen mit Pegasus zu infizieren. Whatsapp klagt deshalb derzeit vor einem kalifornischen Gericht gegen die NSO. Einige Namen von Betroffenen fanden sich nun auch in den Daten des Pegasus-Projekts wieder. Daneben waren auch Nummern von Personen auf den Listen, in deren Fällen aus anderen Gründen öffentlich bekannt war, dass sie mit Pegasus attackiert worden waren - etwa weil sie selbst IT-Forensiker mit der Untersuchung ihrer Smartphones beauftragt hatten. Beispielsweise der emiratische Menschenrechtsaktivist Ahmed Mansur, der marrokkanische Journalist Omar Radi oder der saudische Aktivist Omar Abdulaziz .
Wie man Pegasus entdeckte
Aber woher wissen IT-Forensiker und Sicherheitsforscher überhaupt, wie man Pegasus aufspürt? Wie das Programm, wie sein Quellcode aussieht? Die Existenz der Spionagesoftware ist kein Geheimnis. Der Hersteller bewirbt sie bei Kunden und auf Konferenzen. 2015 veröffentlichte Wikileaks Hunderttausende E-Mails eines anderen Entwicklers von Spionagesoftware. Darin fand sich auch eine undatierte Werbebroschüre für Pegasus, die detailliert erklärte, wozu die Software vor sechs Jahren oder sogar noch früher schon fähig war.
Wie man verdächtige SMS mit NSO in Verbindung brachte
IT-Sicherheitsforscher begannen dann zu untersuchen, wie Pegasus auf das Smartphone einer Zielperson gelangt. Dafür analysierten sie Netzwerkinfrastruktur, also Webseiten sowie die dazugehörigen Domainnamen und IP-Adressen der Server. Ein Domainname ist beispielsweise www.sz.de, eine zugehörige IP-Adresse lautet 195.50.177.61. Links mit solchen Domainnamen konnte man in verdächtigen SMS finden. Beispielsweise in einer Nachricht an den Menschenrechtsaktivisten Ahmed Mansur. Diese Links führten die Forensiker der kanadischen Forschungseinrichtung Citizen Lab zu einem Netz von Internetseiten und Servern, die schon in einer früheren Spionage-Kampagne aufgefallen waren. Und folgende Indizienkette führte sie zur Firma NSO:
Diese Beweiskette führte noch in mehreren weiteren Fällen zu Servern, die der NSO klar zuzuordnen waren. Auch das Security Lab von Amnesty International nutzte diese Beweiskette für weitere Forschung zur NSO.
Wie man Pegasus identifizieren kann
Mansur hatte nicht auf die Links geklickt, aber die Forscher taten das später und konnten so beobachten, wie ihr iPhone zuerst gehackt wurde und dann Software herunterlud. In den heruntergeladenen Dateien entdeckten sie hundertfach das Wort Pegasus – offenbar hatte sich das Programm installiert, und die Dateien waren eine Kopie der Spionagesoftware. Und sie fanden Programmcode, der zu den Fähigkeiten von Pegasus passte, die in der geleakten Werbebroschüre beschrieben waren. Also beispielsweise Anrufe mitzuschneiden oder oder Chatnachrichten abzugreifen. Zudem waren auch im Code mehrere Domainnamen genannt, die Teil der oben erwähnten 237 verdächtigen Domainnamen aus einer früher beobachteten Kampagne waren.
Vor allem aber konnte man nun Teile der Pegasus-Software, sogenannte Prozesse, beobachten. Fortan konnten IT-Forensiker Telefone, bei denen sie eine Infektion mit Pegasus vermuteten, nach diesen Prozessen durchsuchen. Deren Spuren findet man in Systemdatenbanken des Betriebssystems. Dort wird zum Beispiel festgehalten, welcher Prozess ein Mobilfunknetz nutzt. Und man findet diese Aktivität nicht, wenn Telefone “sauber” sind, also ein frisch installiertes Betriebssystem haben. Bei einem Vergleich zwischen einem sauberen und einem infizierten Gerät fallen diese Prozesse also auf.
Claudio Guarnieri, der die Forschung zu Pegasus bei Amnesty International verantwortet, sagt dazu: “Aus meiner Sicht gibt es keinen Zweifel, dass das, was wir sehen, Pegasus ist. Die Merkmale sind sehr eindeutig, und alle Spuren, die wir sehen, bestätigen sich im Wesentlichen gegenseitig."
Was die forensischen Analysen zeigen
Das Security Lab von Amnesty International untersuchte für das Pegasus-Projekt 67 Geräte, deren Nummern in den Daten zu finden waren. Auf 37 davon fanden sich Spuren von Pegasus-Software; bei 23 Telefonen konnte eine Infektion nachgewiesen werden, bei den übrigen 14 zumindest Spuren eines Versuchs.
Die Forscher von Amnesty International stellten der NSO einen detaillierten Bericht über die daraus gewonnenen Erkenntnisse und ihre Methodik zur Verfügung. Darin waren alle technischen Spuren erläutert, aus denen die Forensiker schlossen, dass es sich um Spuren von Pegasus handelt. NSO dementierte diese neuen Forschungsergebnisse nicht, kritisierte aber die Bezugnahme auf frühere Untersuchungen, wie die oben beschriebene Beweiskette: “Insbesondere hängt Ihr Bericht von Annahmen ab, die frühere Berichte mit der NSO Group in Verbindung bringen, die wiederum auf ähnlichen Annahmen in Bezug auf noch frühere Berichte beruhen, ohne dass eine Verbindung zwischen den verschiedenen Ebenen der Berichte nachgewiesen werden kann, die für einen verantwortungsbewussten Journalisten ausreichend ist, um diese Schlussfolgerungen zu veröffentlichen. Wenn Forbidden Stories zusätzliche Beweise (keine Vermutungen) hat, die die Verbindung zwischen diesen früheren Berichten und NSO belegen, stellen Sie diese bitte zur Verfügung, damit NSO eine sinnvolle Möglichkeit zur Stellungnahme hat.”
Wie die NSO die Recherchen indirekt bestätigt
Die Recherchen zeigen, dass es sich bei den Daten um die Nummern handelt, die Käufer der NSO-Software als potenzielle Ausspähziele identifiziert haben. Die Anwälte der Firma schreiben hingegen in einem Brief an die SZ, diese seien viel eher “Teil einer größeren Liste von Nummern, die möglicherweise von Kunden der NSO Group für andere Zwecke genutzt wurden”. Die Recherche-Kooperation des Pegasus-Projekts erhob nie den Vorwurf, dass alle die Nummern auf der Liste tatsächlich mit der Software attackiert und abgehört worden wären - allein schon, weil sich darauf auch Festnetznummern finden, die von Pegasus nicht abgehört werden können. Der entscheidende Punkt aber ist: Das NSO-Schreiben bestätigt nun, dass solche Listen existieren.