Eine Untersuchung von Access Now enttarnt eine „Hack-for-Hire“-Kampagne gegen prominente Journalisten und Regierungskritiker im Nahen Osten. Die Cyberangriffe sind hochgradig personalisiert.
Eine am Donnerstag veröffentlichte Analyse der Digital Security Helpline von Access Now deckt eine koordinierte Spear-Phishing-Kampagne auf, die vor allem prominente ägyptische Journalisten und Regierungskritiker ins Visier nimmt. Die Angriffe richteten sich etwa gegen Mostafa Al-A’sar und Ahmed Eltantawy, die beide bereits in der Vergangenheit politische Verfolgung und Haft in Ägypten erfahren haben. Durch die Zusammenarbeit mit dem Sicherheitsunternehmen Lookout haben die Forscher die Kampagne einer professionellen „Hack-for-Hire“-Organisation mit Verbindungen nach Asien zugeordnet, die im Auftrag unbekannter Einheiten Spionage gegen die Zivilgesellschaft im Nahen Osten und Nordafrika betreiben soll.
Hochgradig personalisierte Angriffe
Die Angreifer operierten laut der Untersuchung im Zeitraum von 2023 bis 2024 mit Methoden des Spear-Phishings, einer besonders präzisen Form des digitalen Angriffs. Im Gegensatz zu breiten Phishing-Wellen werden hier Nachrichten versendet, die täuschend echt wirken und scheinbar von vertrauenswürdigen Personen oder Diensten stammen. Im Fall von Mostafa Al-A’sar, einem preisgekrönten Journalisten im Exil, versuchten die Täter zunächst im Oktober 2023, sein Apple-Konto zu kompromittieren. Sie gaben sich als Apple-Support aus und drängten ihn über iMessage zur Verifizierung seiner Telefonnummer.
Al-A’sar gab seine Zugangsdaten auf einer gefälschten Seite ein, schöpfte jedoch Verdacht, als er eine offizielle Apple-Benachrichtigung über einen Anmeldeversuch aus Kairo erhielt, während er sich selbst im Libanon aufhielt. Dieser entscheidende Moment der Aufmerksamkeit verhinderte den vollständigen Zugriff der Angreifer auf seine privaten Daten, Kontakte und Cloud-Speicher. Nur wenige Monate später folgte ein zweiter Versuch: Über ein gefälschtes LinkedIn-Profil namens „Haifa Kareem“ wurde Al-A’sar ein vermeintliches Jobangebot unterbreitet. Ein zugesandter Link zu einem angeblichen Zoom-Meeting entpuppte sich als raffinierte Falle, die Google-OAuth-Berechtigungen ausnutzen sollte, um dauerhaften Zugriff auf sein Google-Konto zu erhalten.
Die Spur führt zur ägyptischen Repression
Auch Ahmed Eltantawy, ein ehemaliges Parlamentsmitglied und Herausforderer von Präsident Abdel Fattah al-Sisi, wurde auf identische Weise angegriffen. Seine Geschichte mit digitaler Überwachung ist lang: Untersuchungen des Citizen Lab bestätigten bereits früher Infektionen seines Geräts mit der berüchtigten „Predator“-Spyware von Intellexa. Die neuen Angriffe fielen zeitlich mit der Eskalation der staatlichen Repression gegen ihn und seine Familie zusammen, die schließlich in seiner erneuten Inhaftierung im Jahr 2024 gipfelte.
Die forensische Analyse der Infrastruktur zeigt eine professionelle Handschrift. Die Angreifer nutzten kurzlebige Domains und verschleierten ihren Code, um Sicherheitsforscher zu täuschen. Neben dem Diebstahl von Zugangsdaten wurde die Infrastruktur auch dazu verwendet, bösartige Android-Apps zu verbreiten, die sich als verschlüsselte Messenger wie Signal tarnen. Diese Spyware, die von Sicherheitsfirmen wie Eset „ProSpy“ genannt wird, ist in der Lage, SMS-Nachrichten mitzulesen, Kontakte zu stehlen, Standorte zu tracken sowie Mikrofon und Kamera fernzusteuern.
Ein grenzüberschreitendes Netzwerk der Überwachung
Die Ermittlungen dehnen sich über die Grenzen Ägyptens aus. Access Now unterstützte auch die Organisation Smex bei der Untersuchung eines Falls im Libanon aus dem Jahr 2025. Dort soll die gleiche Tätergruppe erfolgreich gewesen sein: sie konnte demnach das Apple-Konto eines einflussreichen libanesischen Journalisten kompromittieren. Die Übereinstimmungen bei den verwendeten Werkzeugen und Servern deuten darauf hin, dass die „Hack-for-Hire“-Gruppe ein breites Portfolio an Zielen in der gesamten Region abarbeitet.
Zwar lässt sich die Identität der letztendlichen Auftraggeber aufgrund der zwischengeschalteten Dienstleister nicht mit absoluter Sicherheit belegen. Aber die Profile der Opfer und technische Details wie der Anmeldeversuch aus Kairo weisen eine Richtung auf. Ägypten ist bekannt für den Einkauf europäischer und kanadischer Überwachungstechnologie und hat laut Amnesty International eine dokumentierte Historie des Einsatzes von Spyware gegen Kritiker.
Schutzmaßnahmen für die Zivilgesellschaft
Angesichts dieser Bedrohungslage betont Access Now die Bedeutung präventiver digitaler Sicherheit. Social Engineering zielt auf menschliche Schwachstellen ab, weshalb Skepsis gegenüber unaufgeforderten Nachrichten oberstes Gebot bleibt. Die Nutzung von Zwei-Faktor-Authentifizierung (2FA) ist essenziell. Allerdings warnen Experten davor, dass Angreifer auch diese Codes über gefälschte Seiten abgreifen könnten. Sicherheitskeys oder Programme wie Googles „erweiterter Sicherheitsschutz“ böten hier einen besseren Schutz.
Betroffenen rät die Organisation, bei Verdacht auf einen Angriff sofort professionelle Hilfe, etwa durch die rund um die Uhr erreichbare Helpline von Access Now, in Anspruch zu nehmen. Die Untersuchung veranschaulicht: Während hochentwickelte Spyware die Schlagzeilen beherrscht, bleibt das vergleichsweise günstige Phishing eine der effektivsten Waffen im Arsenal digitaler Despoten, um Netzwerke der Zivilgesellschaft zu infiltrieren und mundtot zu machen.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen