Pegasus Projekt – weltweiter Missbrauch einer Überwachungssoftware

Artikel ansehen

Eben kam noch ein interessanter Artikel rein (Vice).

Amazon schaltet die Infrastruktur der NSO Group ab

Der Schritt kommt, da Aktivisten und Medienorganisationen neue Erkenntnisse über den israelischen Überwachungsanbieter veröffentlichen.

Amazon Web Services (AWS) hat die Infrastruktur und Konten abgeschaltet, die mit dem israelischen Überwachungsanbieter NSO Group verbunden sind, so Amazon in einer Erklärung.

Der Schritt kommt, nachdem eine Gruppe von Medien und Aktivisten-Organisationen neue Recherchen über NSOs Malware und Telefonnummern veröffentlicht hat, die möglicherweise von NSOs Regierungskunden für das Targeting ausgewählt wurden.

„Als wir von dieser Aktivität erfuhren, wir haben schnell gehandelt, um die entsprechende Infrastruktur und Konten herunterzufahren“, sagte ein AWS-Sprecher Motherboard in einer E-Mail.

Amazon Shuts Down NSO Group Infrastructure

Bei so einem großen öffentlichen Interesse können die das nicht einfach so ignorieren. Ich bezweifel mal, dass die das besonders juckt.

Und das öffentliche Interesse wird bestimmt noch größer werden. Es sollen ja im Laufe der Woche noch weitere Einzelheiten veröffentlicht werden. Das wird noch eine Weile ganz schön spannend bleiben, denke ich.

Die Pegasus-Infrastruktur der NSO Group besteht hauptsächlich aus Servern, die in Rechenzentren in europäischen Ländern gehostet werden. Zu den Ländern, die die meisten Infektionsdomain-DNS-Server hosten, gehören Deutschland, Großbritannien, die Schweiz, Frankreich und die Vereinigten Staaten (USA).

Country Servers per country
Germany 212
United Kingdom 79
Switzerland 36
France 35
United States 28
Finland 9
Netherlands 5
Canada 4
Ukraine 4
Singapore 3
India 3
Austria 3
Japan 1
Bulgaria 1
Lithuania 1
Bahrain 1

Die folgende Tabelle zeigt die Anzahl der DNS-Server, die bei den einzelnen Hosting-Providern gehostet werden. Die meisten identifizierten Server sind den US-amerikanischen Hosting-Unternehmen Digital Ocean, Linode und Amazon Web Services (AWS) zugewiesen.

Viele Hosting-Provider bieten Server-Hosting an mehreren physischen Standorten an. Aus diesen beiden Tabellen geht hervor, dass die NSO Group in erster Linie die von amerikanischen Hosting-Unternehmen betriebenen europäischen Rechenzentren nutzt, um einen Großteil der Angriffsinfrastruktur für ihre Kunden zu betreiben.

Network Servers per network
DIGITALOCEAN-ASN 142
Linode, LLC 114
AMAZON-02 73
Akenes SA 60
UpCloud Ltd 9
Choopa 7
OVH SAS 6
Virtual Systems LLC 2
ASN-QUADRANET-GLOBAL 1
combahton GmbH 1
UAB Rakrejus 1
HZ Hosting Ltd 1
PE Brezhnev Daniil 1
Neterra Ltd. 1
Kyiv Optic Networks Ltd 1

Bei den Recherchen von Amnesty International wurden 28 DNS-Server identifiziert, die mit der Infektionsinfrastruktur verbunden sind und in den USA gehostet werden.

Domain name DNS server IP Network
drp32k77.todoinfonet.com 104.223.76.216 ASN-QUADRANET-GLOBAL
imgi64kf5so6k.transferlights.com 165.227.52.184 DIGITALOCEAN-ASN
pc43v65k.alignmentdisabled.net 167.172.215.114 DIGITALOCEAN-ASN
img54fsd3267h.prioritytrail.net 157.245.228.71 DIGITALOCEAN-ASN
jsfk3d43.netvisualizer.com 104.248.126.210 DIGITALOCEAN-ASN
cdn42js666.manydnsnow.com 138.197.223.170 DIGITALOCEAN-ASN
css1833iv.handcraftedformat.com 134.209.172.164 DIGITALOCEAN-ASN
js43fsf7v.opera-van.com 159.203.87.42 DIGITALOCEAN-ASN
pypip36z19.myfundsdns.com 167.99.105.68 DIGITALOCEAN-ASN
css912jy6.reception-desk.net 68.183.105.242 DIGITALOCEAN-ASN
imgi64kf5so6k.transferlights.com 206.189.214.74 DIGITALOCEAN-ASN
js85mail.preferenceviews.com 142.93.80.134 DIGITALOCEAN-ASN
css3218i.quota-reader.net 165.227.17.53 DIGITALOCEAN-ASN
mongo87a.sweet-water.org 142.93.113.166 DIGITALOCEAN-ASN
react12x2.towebsite.net 3.13.132.96 AMAZON-02
jsb8dmc5z4.gettingurl.com 13.59.79.240 AMAZON-02
react12x2.towebsite.net 3.16.75.157 AMAZON-02
cssgahs5j.redirigir.net 18.217.13.50 AMAZON-02
jsm3zsn5kewlmk9q.dns-analytics.com 18.225.12.72 AMAZON-02
imgcss35d.domain-routing.com 13.58.85.100 AMAZON-02
jsb8dmc5z4.gettingurl.com 18.191.63.125 AMAZON-02
js9dj1xzc8d.beanbounce.net 199.247.15.15 CHOOPA
jsid76api.buildyourdata.com 108.61.158.97 CHOOPA
cdn19be2.reloadinput.com 95.179.177.18 CHOOPA
srva9awf.syncingprocess.com 66.175.211.107 Linode
jsfk3d43.netvisualizer.com 172.105.148.64 Linode
imgdsg4f35.permalinking.com 23.239.16.143 Linode
srva9awf.syncingprocess.com 45.79.190.38 Linode

Anhand der forensischen Analyse von kompromittierten Geräten stellte Amnesty International fest, dass die NSO Group für jeden Versuch, die Pegasus-Spyware auszuliefern, eine eindeutige und zufällig generierte Subdomain verwendete.

Amnesty International durchsuchte passive DNS-Datensätze für jede der von uns identifizierten Pegasus Version 4-Domains. Passive DNS-Datenbanken zeichnen die historische DNS-Auflösung für eine Domain auf und enthalten oft Subdomains und die entsprechende historische IP-Adresse.

Infection domain Unique infection subdomains
mongo77usr.urlredirect.net 417
str1089.mailappzone.com 410
apiweb248.theappanalytics.com 391
dist564.htmlstats.net 245
css235gr.apigraphs.net 147
nodesj44s.unusualneighbor.com 38
jsonapi2.linksnew.info 30
img9fo658tlsuh.securisurf.com 19
pc25f01dw.loading-url.net 12
dbm4kl5d3faqlk6.healthyguess.com 8
img359axw1z.reload-url.net 5
css2307.cssgraphics.net 5
info2638dg43.newip-info.com 3
img87xp8m.catbrushcable.com 2
img108jkn42.av-scanner.com 2
mongom5sxk8fr6.extractsight.com 2
img776cg3.webprotector.co 1
tv54d2ml1.topadblocker.net 1
drp2j4sdi.safecrusade.com 1
api1r3f4.redirectweburl.com 1
pc41g20bm.redirectconnection.net 1
jsj8sd9nf.randomlane.net 1
php78mp9v.opposedarrangement.net 1

https://citizenlab.ca/wp-content/uploads/2021/05/NSO-letter-to-Citizen-Lab-May-5-2021.pdf

1 Like

Ja, Snowden hat recht! …Schlimmer noch:
Da wächst unter dem Radar eine neue totalitäre Weltmacht heran, die politisch und demokratisch bald nicht mehr beherrschbar sein wird. Dies hier ist ja nur ein Bauteil. Bastelt man das mit den „ach so harmlosen“ Kundendaten, den schon sehr intelligenten Algorithmen zusammen und gibt noch ein Schuß kriminelle Energie dazu, kann man ganz unauffällig komplette Regierungen und Staaten übernehmen.
Auf jeden Fall wächst das Potential zu so was unkontrolliert heran und ist mit Geld einfach kaufbar.

Wolf-Dieter Zimermann vom LinuxTreff hat das Ganze wie immer sehr gut kommentiert:

Liebe Freundinnen und Freunde Freier Software, gar von Linux,

Pegasus, die von einer israelischen Firma entwickelte Spionage und Spähsoftware - Lieblingsanschaffung aller Autokraten und Diktatoren - kann - soweit der Kenntnisstand bis heute - unbemerkt nur auf iPhones installiert werden.

Dennoch sollten sich Smartphonebesitzerinnen und -besitzer nicht entspannt zurück lehnen: der Datenhunger ist nicht nur in Autokratien riesig und beileibe nicht ohne Gefahren. Auch die Werbung behauptet, nicht ohne auszukommen - wir haben auf diesen Irrtum schon mehrmals darauf hingewiesen.

Es ist ein großes Problem nicht nur in der Pädagogik: Wie sehen die Schritte aus vom Erkennen und Wissen zum absichtsvollen Handeln? Das ist auch in heutigen Zeiten die eigentlich interessierende Frage.

Kaum jemand wird noch abstreiten, dass die Folgen von „Immer-Höher-Schneller-Weiter“ mehr als deutlich auch im Klima erkennbar werden.

Nicht erst seit der Veröffentlichung eines Buches des Club of Rome mit dem Titel „Grenzen des Wachstums“, das im Jahre 1972 (erste Auflage) erschienen ist, weiß eigentlich die sich umfassend informierende Welt, dass die Folgekosten des hemmungslosen Raubbaus an Mensch, Tier, dem ganzen Planeten immens sein würden. Die Warnungen wurden nicht ernst genommen.

Die Diskussion, was genau jeder Einzelne zu welchem Preis wirklich zwingend benötigt, wird nun deutlich schärfer geführt werden müssen. Es ist und bleibt die wahre existentielle Frage, auch für den Einzelnen.

Und ja, es wird dem Urteil späterer Generationen überlassen bleiben, darüber zu entscheiden, wer sich in der Parteienlandschaft, bei den Kirchen und Gewerkschaften am schäbigsten im Sinne des ungehemmten Gewinnemachens und des reinen Machterhalts benommen hat.

Es wird für die Zukunft hoffentlich ein Maßstab daraus werden können, wer sich am stärksten, auch streitig für Klimagerechtigkeit, Nachhaltigkeit, gerechte Arbeitsbedingungen in der kompletten Lieferkette und eine weltweit gerechte Verteilung von Ressourcen einsetzen wird. Es sind zumindestens gute Bausteine, an denen entlang man Wahlentscheidungen ausschärfen kann.

(…)

1 Like

Um selbst nach Hinweisen einer Kompromittierung zu suchen, listet Amnesty alle bekannten Domains, E-Mail-Adressen und Dateinamen der NSO Group in einem Github Repository auf.

https://github.com/AmnestyTech/investigations/tree/master/2021-07-18_nso

1 Like

Vorwürfe bestätigt: Französische Behörde findet Pegasus-Spyware bei Journalisten

Seit Tagen sorgen die Spyware-Enthüllungen für Aufsehen. Nun wurde angeblich erstmals unabhängig bestätigt, dass Pegasus gegen Journalisten eingesetzt wurde. Siehe:

https://www.heise.de/news/Vorwuerfe-bestaetigt-Franzoesische-Behoerde-findet-Pegasus-Spyware-bei-Journalisten-6153870.html

1 Like