Laut einem Bericht des Cybersicherheitsunternehmens Check Point Software Technologies spioniert die ägyptische Regierung gezielt regierungskritische Gegner aus. Dazu installierte sie heimlich Software auf populären Apps. Bürger, Journalisten, Oppositionspolitiker, Menschenrechtsaktivisten und Wissenschaftler und viele andere werden so verfolgt und ausspioniert.

Der Check Point Bericht beschreibt, wie die Apps es der Regierung ermöglichen, ihre Opfer auf Schritt und Tritt zu verfolgen, auf ihre Dateien zuzugreifen, E-Mails mitzulesen und Gespräche aufzuzeichnen. Die Sicherheitsforscher zeigen in ihrem Bericht auch, wie der ägyptische Geheimdienst dies umgesetzt hat. Die ausgeklügelten Cyberangriffe wurden eingeleitet, in dem die Angreifer Software auf den Handys ihrer Opfer installierten. Die Spionageaktivitäten begannen laut Checkpoint bereits 2016. Bisher konnten etwa 33 Opfer in verschiedenen Ländern identifiziert werden. Die Forscher fanden auch eine Liste mit handverlesenen Opfern. Viele der Opfer wussten bereits, dass ihre E-Mails ausspioniert wurden aufgrund der Warnungen von Google, Amnesty International und Human Rights Watch.

Amnesty berichtet über Angriffe gegen Smartphones von Bürgerrechtlern

Check Point nahm seine Untersuchungen auf, nachdem Amnesty International im März dieses Jahres über Angriffe gegen ägyptische Bürgerrechtler berichtet hatte. Die Sicherheitsforscher fanden heraus, dass die Angriffe breiter gestreut waren, als ursprünglich gedacht. Der Cyberangriff begann bereits 2016, so der Bericht. Die Zahl der Opfer ist unbekannt, aber Check Point identifizierte 33 Personen, die ins Visier genommen wurden. Erst vor Kurzen wurde eine andere Spionageaktion der ägyptischen Regierung aufgedeckt. Im August dieses Jahres fand man heraus, dass das sudanesische Militär mit gefälschten Social-Media-Konten unterstützt wurde.

Bei neueren Angriffen gegen Regimekritiker wurde Secure Mail, eine App für Google Mail, missbraucht. Sie informierte die Opfer, dass ihre Google-Konten gefährdet waren, und verleitete sie dann dazu, ihre Passwörter anzugeben. Eine andere Angriffsmethode erfolgte über die App iLoud200%. Die Anwendung soll das Volumen von Mobiltelefonen verdoppelt. Allerdings griff sie lediglich auf den Telefonstandort zu, selbst bei deaktiviertem Standortdienst. Die App IndexY, die eigentlich eingehende Anrufe identifizieren sollte, kopiert stattdessen alle Anrufe eines Telefons. Alle Apps waren im Google Playstore erhältlich. Um in den Google Play Store aufgenommen zu werden, werden neue Apps umfangreichen Sicherheitschecks unterzogen. Daher kann man sich vielleicht ansatzweise vorstellen, wie viel Aufwand betrieben werden musste, um diese Checks zu umgehen. Am 15. Juni informierte Check Point Google. Daraufhin wurden die Apps aus dem Play Store entfernt und auch deren registrierte Entwickler blockiert.

Es wurde festgestellt, dass der zentrale Server von dem die Angriffe ausgeführt wurden, auf das ägyptische Ministerium für Kommunikation und Informationstechnologie registriert war. Die in einer App eingebetteten geografischen Koordinaten entsprachen dem Hauptsitz der wichtigsten ägyptischen Spionagebehörde, dem General Intelligence Service. Diese Standardkoordinaten sind in der Regel der Ort, an dem die App vom Entwickler erstmalig aktiviert wurde. Check Point fand auch heraus, auf wen die Webseiten, über welche die Angriffe durchgeführt wurden, registriert waren: Sie gehörten einer IP-Adresse des russischen Telekommunikationsunternehmens Marosnet. Die Webseiten waren mit einem zentralen Server verbunden, der auf „MCIT“ registriert war.

Andere Hinweise auf eine staatliche Beteiligung an den Angriffen waren: die mehrjährige Dauer der Spionageaktivität und die riesigen Datenmengen. Letztere erforderten erhebliche finanzielle und personelle Ressourcen, um abgearbeitet zu werden. Auch passen die Zielpersonen der Angriffe eher nicht zur klassischen Cyberkriminalität. Ferner gab es Hinweise darauf, dass die Angreifer arabisch sprachen und die Apps auf ägyptische Standardzeit eingestellt waren. Und letztendlich wurden drei der ausspionierten Opfer verhaftet.

Das Auge am Nil – Angriffsmethoden

Als Check Point mit ihrer Untersuchung der Amnesty International Hinweise begann, stellten sie fest, dass die Angreifer das sogenannte OAuth Phishing nutzten. Dazu vielen alle Spionageaktivitäten zeitlich auf politische Ereignisse in Ägypten. Auffallende Aktivitäten gab es um den Jahrestag des ägyptischen Aufstands – 11 Phishing-Angriffe zeitgleich wurden registriert. Weitere am 28. und 29. Januar, als der französische Präsidenten Emmanuel Macron auf Staatsbesuch in Kairo war. Besonders viele Angriffe gab es am 29. Januar, als Macron sich mit Menschenrechtlern traf. Anfang Februar wurden dann mehrere Medienorganisationen ins Visier genommen, da sie über den Prozess der Änderung der ägyptischen Verfassung berichteten.

OAuth Phishing ist eine Phishingart, die eine legitime Funktion vieler Online-Dienstleister nutzt, wie Google, das es Drittanwendungen ermöglicht, direkten Zugriff auf ein Nutzerkonto zu erhalten. Solche Anwendung können Kalender sein, die Zugriff auf ein E-Mail-Konto anfordern. Beim OAuth Phishing nutzen Angreifer getarnte bösartige Drittanbieteranwendungen, die Zugriff auf Konten der arglosen Opfer anfordern.

Die am häufigsten eingesetzten Varianten der Phishing-E-Mails imitieren die E-Mail einer Google Sicherheitswarnung. Sie fordern die Anwender auf, ein Sicherheitsupdate „Secure Email“ für das Google-Konto auszuführen. Beim Klick auf die Schaltfläche „Meine Sicherheit jetzt aktualisieren“, führt es das System zu einer Webseite, die den OAuth-Autorisierungsprozess der bösartigen Drittanbieteranwendung einleitet. Hier wird der Anwender aufgefordert, sich bei Google anzumelden oder ein bestehendes angemeldetes Konto auszuwählen. Anschließend erfolgt eine Aufforderung, der bösartigen Drittanbieteranwendung, „Secure Email“ explizit zu erlauben, Zugang zum E-Mail-Konto zu erhalten. Obwohl diese Autorisierungsabfrage sogleich eine Google Warnung auslöst, kann sie leicht übersehen werden, da der Benutzer davon ausgeht, eine offenbar legitime E-Mail von Google habe den Vorgang ohnehin eingeleitet. Nach dem Anklicken haben die Angreifer sofort Zugriff auf den E-Mail-Dienst und seine Zugriffsdaten. Gleichzeitig wird der Vorgang für die Opfer abgeschlossen: Sie werden auf die Seite mit den echten Google-Kontoeinstellungen geleitet, was weitere Verdachtsmomente zerstreut. Gleichartige Angriffstaktiken wurden auch gegen Yahoo, Outlook- und Hotmail genutzt.

In einem Kommentar bestätigte IT Security Experte Lee Neely, dass alle identifizierten Apps aus Google Play entfernt wurden. Zugleich deinstalliert Google Play Protect diese Apps auf allen infizierten Geräten.

Artikel von checkpoint.com, 03.10.2019: The Eye on the Nile
Artikel von amnesty.org, 06.03.2019: Phishing attacks using third-party applications against Egyptian civil society organizations
Artikel von cyberscoop.com, 03.10.2019: An ongoing hacking campaign targets dissidents in Egypt, researchers say

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0