Das Geschäftsmodell der Intellexa-Allianz: verschiedene Produkte für eine gleichermassen umfassende wie gezielte Überwachung kombinieren. Die Werkzeuge zur Spionage sind dabei so leistungsfähig, dass sie «grundsätzlich mit den Menschenrechten unvereinbar sind». So lautet das Fazit von Amnesty International in einem Bericht, der in den nächsten Tagen veröffentlicht wird und zu dem der Rechercheverbund EIC vorab Zugang erhielt.

Woraus nun aber besteht das Sortiment von Intellexa – und wie funktionieren die einzelnen Produkte? Ihre Fähigkeiten lassen sich aus zahlreichen vertraulichen Dokumenten herleiten, die «Mediapart» und «Der Spiegel» im Rahmen der vom EIC-Netzwerk koordinierten Untersuchung «Predator Files» erhalten und mithilfe des Security Lab von Amnesty International analysiert haben.

Predator

Das bekannteste Produkt ist ein invasives Spionageprogramm, das dem Angreifer vollständigen Zugriff auf das Mobiltelefon einer Zielperson gewährt – und kaum Spuren hinterlässt. Bei der sogenannten Ein-Klick-Infektion dringt der Trojaner ins Telefon ein, wenn das Opfer auf einen gefälschten Link klickt, der ihm zugesandt wurde. Der Angreifer erhält vollen Zugriff auf den Inhalt des Geräts sowie die Möglichkeit, die Kamera oder das Mikrofon heimlich zu aktivieren.

Wer mehr bezahlt, erhält zudem eine sogenannte Reboot-Option, damit der Spion auch nach einem Neustart auf dem Gerät bleibt. Nur das Zurücksetzen des Geräts auf die Werkeinstellungen zerstört den Trojaner. Die ganze Operation wird jeweils über eine «Cyber Operation Platform» abgewickelt, die als Schaltzentrale für das Absaugen und Sortieren der sensiblen Informationen dient. Predator wurde vom israelisch-ungarischen Unternehmen Cytrox entwickelt.

Arrow

Durch die Zusammenführung unterschiedlicher Technologien aus dem Thalestris-Komplex und den Firmen der Nexa-Gruppe entwickelte sich Predator weiter. Neue Versionen unterscheiden sich vom ursprünglichen Trojaner dadurch, dass die Spionagesoftware durch Manipulation des Wifi-Empfangs oder des Mobilfunkmechanismus ins Gerät eindringt. Dafür braucht es kein aktives Zutun der Zielperson mehr – die Infektion erfolgt im Null-Klick-Modus. Für den Einsatz wird jedoch ein taktisches Team benötigt, das sich in einer Entfernung von höchstens mehreren Hundert Metern vom Ziel aufhalten muss. Mit einem IMSI-Catcher (vgl. Alpha Max) stört es das Signal des Zielgeräts – und eruiert eine Lücke, um den Trojaner im Gerät zu platzieren. 

Die ausgewerteten Dokumente zeigen: Die französische Gruppe Nexa verkaufte Predator unter dem Namen Arrow. Davon gibt es verschiedene Typen, unterteilt in Marketingfarben: Red Arrow steht für Infektionen von Android-Geräten, Green Arrow für die Infektion von Apples iOS-Systemen. Die ausgewerteten Dokumente verweisen zudem auf eine Version mit dem Namen Blue Arrow. Es gibt Hinweise darauf, dass diese Version Angriffe über sogenannte Avatare, also Profile auf digitalen Kanälen wie Twitter, abwickelt.

Nova

Aus Produktbroschüren aus dem Jahr 2022 geht hervor, dass die Intellexa-Allianz jüngst auch ein Produkt namens Nova vermarktete. Die unter den drei Namen Predator, Arrow und Nova verkauften Produkte «beziehen sich auf die gleiche, weitgehend verwandte Spionagetechnologie», nämlich Predator, so eine Analyse von Amnesty International auf der Grundlage von Dokumenten, die der Rechercheverbund EIC erhalten hat.

Triton

Unter diesem Namen vermarktete Intellexa ein Paket für das Eindringen in Samsung-Telefone. Laut einer Werbebroschüre ist Triton in der Lage, mittels taktischer Null-Klick-Infektion in Telefone einzudringen. Das geschieht wie bei Arrow ebenfalls über ein Team vor Ort. Die Broschüre zeigt, wie der Angriff erfolgen könnte: In einer unauffälligen Handtasche befindet sich ein IMSI-Catcher, der dem Anwender Zugang zum Telefon verschafft. Daraufhin dringt Triton ins Zielgerät ein und ermöglicht das Absaugen der Daten.

Mars

Dabei handelt es sich um ein bisher unbekanntes Produkt von Intellexa, das Null-Klick-Infektionen direkt über die Internetanbieter durchführt. Dafür ist die Zusammenarbeit mit dem Internetanbieter des Zielgeräts nötig. Mars ist direkt in die Server des Anbieters integriert und erlaubt es, vordefinierte Ziele über eine «Man in the middle»-Attacke anzugreifen: Dabei schaltet sich der Überwacher zwischen zwei Kommunikationspartner (in diesem Fall zwischen Anbieter und Kunde) und spielt ihnen vor, das jeweilige Gegenüber zu sein. Darauf leitet der Spion den Datenverkehr zwischen dem Zielgerät und der Website um und sucht eine Lücke, um das Gerät zu infizieren. Die Infektion braucht kein aktives Zutun des Zielgeräts oder der Zielperson.

Jupiter

Jupiter wird als Plattform beschrieben, die über eine «Man in the middle»-Attacke eigentlich verschlüsselte Informationen von Websites dechiffriert, die von der Zielperson besucht wurden. Das Jupiter-System ist ein Zusatzmodul von Mars und ermöglicht es dem Angreifer, die Kommunikation zwischen dem Zielgerät und vermeintlich sicheren Websites zu überwachen. Die Technologie wird direkt bei lokalen Anbietern von Websites installiert.

Orion

Wer angreift, muss sich auch schützen. Orion ist ein Produkt zum Schutz vor Cyberangriffen, inklusive Monitoringfunktionen für die Früherkennung von Gefahren.

Alpha Max

Alpha Max ist der IMSI-Catcher der französischen Firma Nexa. Er simuliert eine Mobilfunkantenne für einen bestimmten Zielbereich, sodass sich die Geräte in diesem Bereich aufgrund des starken Signals mit ihm verbinden. Der IMSI-Catcher von Nexa gilt als besonders starke Version. Ist er einmal zwischen das Mobilfunknetz und das Zielgerät geschaltet, ist Alpha Max in der Lage, Anrufe, Textnachrichten und den Netzwerkverkehr abzufangen. Zudem kann Alpha Max auch für «Man in the middle»-Attacken verwendet werden: Indem der IMSI-Catcher Daten manipuliert, die zwischen dem Netzwerk und dem Zielgerät übertragen werden, kann Letzteres mit Infektionssoftware wie Predator oder Triton infiziert werden.

AlphaSpear 360

So nennt sich der komplette Überwachungssatz der Intellexa-Allianz, bestehend aus der Hackingtechnologie der Firma Cytrox, Wifi-Abfangprodukten der zypriotischen Firma WiSpear und verschiedenen Nexa-Produkten wie beispielsweise dem IMSI-Catcher Alpha Max, die als Infektionsvektoren für Predator dienen. Die Hightechlösung ist verpackt in einen getarnten Van, der mit WLAN- und Mobilfunkabhörsystemen ausgestattet ist. Davon ausgehend können die Geräte von Zielpersonen verfolgt, gehackt und infiziert werden, wie es Intellexa-Gründer Tal Dilian selbst in einem Video mit dem Wirtschaftsmagazin «Forbes» erklärt. Siehe: www.forbes.com

Cerebro (ehemals Eagle)

Hinter diesem Namen steht ein Massenüberwachungssystem der französischen Firma Nexa und ihrer Schwesterfirma Advanced Middle East Systems in Dubai. Cerebro war laut Eigendarstellung von Nexa das erste Produkt weltweit, das in der Lage war, den Internetverkehr «in der Grössenordnung eines ganzen Landes» zu überwachen. Konkret saugt eine Sonde den Internetverkehr ab. Dieser wird in Cerebro gespeichert. Die Betreiber können dann nach Schlüsselwörtern suchen, Zielpersonen identifizieren und haben in der Folge Zugriff auf all deren Aktivitäten wie E-Mail-Verläufe oder Website-Besuche – sowohl in der Vergangenheit als auch in Echtzeit. Cerebro war einst das Vorzeigeprodukt von Nexa, hat aber in den letzten Jahren mit der Zunahme des verschlüsselten Internetverkehrs an Bedeutung verloren.

Nexa entwickelte Cerebro allerdings zu einem «Kontrollzentrum» weiter, an das verschiedene Überwachungslösungen angeschlossen werden können. Dabei werden abgefangene Daten an Cerebro weitergeleitet, worauf es diese in ein einheitliches Format umwandelt und analysiert. Das führt zu einer «globalen Überwachung», wie Nexa in einer Broschüre schreibt. Cerebro kann auch eine Verbindung zu staatlichen Datenbanken herstellen, um zusätzliche Informationen zu sammeln.

* Lorenz Naegeli ist Teil des WAV-Recherchekollektivs: www.wav.info

Internationale Kooperation: Zur Recherche

Gemeinsam mit internationalen Partnern recherchierte die WOZ während über einem Jahr zu den Geschäften der sogenannten Intellexa-Allianz – eines führenden Anbieters von höchst umstrittener Überwachungstechnologie wie zum Beispiel der Spionagesoftware Predator.

Ausgangspunkt für die Recherche waren vertrauliche Dokumente, die das französische Portal «Mediapart» und das deutsche Nachrichtenmagazin «Der Spiegel» erhielten. Dabei handelt es sich um Akten aus französischen Ermittlungen sowie um Unterlagen zum deutschen Rüstungskonzern Hensoldt mit Hinweisen auf Intellexa.

Die internationale Recherche hat das Mediennetzwerk European Investigative Collaborations (EIC) koordiniert. Folgende EIC-Mitglieder waren beteiligt: «Mediapart» (Frankreich), «Der Spiegel» (Deutschland), «NRC» (Niederlande), «Politiken» (Dänemark), «Expresso» (Portugal), «Le Soir» (Belgien), «De Standaard» (Belgien), «VG» (Norwegen), «infolibre» (Spanien) und «Domani» (Italien). Für diese Recherche hinzu kamen «Shomrin» (Israel), «Reporters United» (Griechenland), «Daraj Media» (Libanon), die «Washington Post» (USA) und die WOZ. Unterstützt wurden sie fachlich vom Security Lab von Amnesty International.

Die Publikation erfolgt zeitgleich in den beteiligten Medien. Die Partner werden in den kommenden Tagen weitere Berichte veröffentlichen. Auch auf www.woz.ch und in der nächsten Ausgabe folgen zusätzliche Beiträge.

ausklappen einklappen