Predator-Software

Die Predator-Software ist ein Überwachungstool, das Handys live ausspioniert. Verschlüsselte Kommunikation, Sprach- und Textnachrichten – nichts entgeht der Spyware. Mitverantwortlich ist Predator deswegen unter anderem für europäische Überwachungsskandale und den sudanesischen Bürgerkrieg.

Zudem hat kürzlich wohl Bundesbehörde ZITiS erwogen, Predator als Staatstrojaner einzusetzen. Erfahren Sie jetzt mehr über diese mächtige Spyware, ihre Funktionen und ihren Einsatz.

Was ist die Predator-Software?

Bei der Predator-Software handelt es sich erst einmal um Spyware, die es Cyberkriminellen ermöglicht, Fremdgeräte wie Android- und iOS-Mobilgeräte live auszuspionieren und sensible Daten von diesen zu entwenden. Entwickelt und vertrieben wird die Spionagesoftware von dem Unternehmen Intellexa und seiner Tochterfirma CYTROX.

Mit Predator – ein Name, bei dem die meisten an den Hollywood-Blockbuster „Alien and Predator“ denken dürften und der ins Deutsche übersetzt in etwa so viel wie „Raubtier“ bedeutet – lassen sich infizierte Handys fast komplett überwachen. Unter anderem gewährleistet die Predator-Software das Mithören und Mitlesen von Gesprächen, die Standortverfolgung und den Kamerazugriff. Sogar verschlüsselte Nachrichten und Sprachanrufe sind vor der Überwachung durch Predator nicht sicher.

Wie die meisten Trojaner gelangt auch Predator durch Social-Engineering-Methoden oder Methoden des Phishing-/Spear-Phishing-Betrug wie Links oder Anhänge in E-Mails, aber auch durch automatische Downloads als Drive-by-Downloads im Internet auf Ihre mobilen Geräte.

Zwar soll die Spyware Predator wahrscheinlich nur an große Wirtschaftsunternehmen und Länder verkauft, die Spionage kann aber jeden treffen. Bild: Pexels/@fauxels

Wie funktioniert die Predator-Software?

Nach der Infektion nistet sich die Predator-Software auf dem mobilen Endgerät ein und kann gespeicherte Informationen auslesen, laufenden Schriftverkehr oder Sprachanrufe und Audioaufnahmen aufzeichnen und weitergeben. Zudem kann sie Daten von verschiedenen Anwendungen wie WhatsApp, Signal und Telegram sammeln. Außerdem ist Predator in der Lage, Programme zu verstecken oder ihren Start zu verhindern.

Darüber hinaus kann Predator beliebigen Quellcode ausführen, Sicherheitszertifikate hinzufügen und System- sowie Konfigurationsdaten auslesen. Zu weitere Funktionen der Spionagesoftware könnten die Standortverfolgung und der Kamerazugriff gehören. Und um die Fremdsteuerung komplett zu machen, kann die Schadsoftware auch bestimmen, wann sich ein Gerät ausschaltet, obwohl es noch weiterhin aktiv ist.

Predator-Analyse von Cisco Talos

Die IT-Sicherheitsforscher von Cisco Talos haben am 25. Mai 2023 neue Details zur Arbeitsweise der Predator-Software veröffentlicht. Unter anderem nutzt Predator verschiedene bekannte Schwachstellen aus, darunter Sicherheitslücken in Google Chrome sowie in Linux und Android. Die Spyware arbeitet eng mit einer Komponente namens Alien zusammen, die sich in Prozesse einbindet und Befehle von Predator empfängt. Laut Talos legen Spyware-Anbieter großen Wert darauf, dass ihre Spähsoftware schwer erkennbar, analysierbar und vermeidbar ist.

Der Trojaner Predator existiert seit mindestens 2019 und ermöglicht es, neue Python-basierte Module bereitzustellen, ohne auf neue Schwachstellen angewiesen zu sein. Das macht den Trojaner besonders vielseitig und gefährlich. Die auf der Internetseite von Talos veröffentlichte Analyse soll Entwicklern dabei helfen, bessere Abwehrtechniken zu entwickeln, die Spähsoftware zu erkennen und ihre Funktionen zu blockieren.

Cisco Talos hat mit einer umfassenden Analyse kürzlich Spyware Predator unter die Lupe genommen. Bild: Pexels/@imalimadad

Predator-Spähangriff auf griechische Opposition

Prominent wurde die Predator-Software bei einem Spähangriff auf die griechische Opposition. Nikos Androulakis, Vorsitzender der griechischen sozialdemokratischen Partei PASOK und EU-Abgeordneter, wurde während seines parteiinternen Wahlverfahrens um den Vorsitz der Sozialdemokraten vom griechischen Inlandsgeheimdienst EYP  überwacht; und zwar mithilfe der Spyware Predator. Als Androulakis im Juni 2022 einen Service des EU-Parlaments nutzte, um seine Endgeräte auf Malware zu untersuchen, wurde bekannt, dass er Opfer von Predator geworden war.

Androulakis beantragte Informationen von der Behörde für Kommunikationssicherheit und Datenschutz. Dabei handelt es sich um eine unabhängige Institution, die unter anderem sicherstellen soll, dass genehmigte Überwachungen nur mit entsprechendem Beschluss durchgeführt werden. Allerdings betrifft dies lediglich die herkömmliche Telefonüberwachung, da die Behörde keine Nachweise für Predator-Software vorliegen hat.

Folgen des Predator-Spionageskandals

Nur wenige Tage später erfuhr Androulakis offiziell, dass seine Telefonate über einen Zeitraum von drei Monaten abgehört worden sein. Dies geschah gemäß einem Beschluss des Nationalen Geheimdienstes EYP genau zu der Zeit, als er sich um das Amt des Parteivorsitzenden der PASOK bewarb. Die PASOK ist eine Partei, die traditionell zu den wichtigsten Konkurrenten der aktuellen Regierungspartei Nea Dimokratia gehört.

Nach dem Skandal sind der Leiter des Inlandsgeheimdienstes, Panagiotis Kontoleon, ebenso wie der Stabschef und Neffe von Premierminister Kyriakos Mitsotakis, Grigoris Dimitriadis, zurückgetreten. Angesichts dieser Ereignisse unterbrach der griechische Ministerpräsident seinen Urlaub, um sich im Fernsehen zu äußern, dass das Geschehene zwar erlaubt, aber ein Fehler gewesen sei.

Bei journalistischer Aufarbeitung stellte sich übrigens heraus, dass neben dem Oppositionspolitiker Androulakis auch ein Finanzjournalist vom Geheimdienst bespitzelt wurde, wobei auch hier die Predator-Software zum Einsatz kam. Die griechische Regierung bestreitet weiterhin, die Software im Einsatz zu haben.

Bekannt wurde die Predator-Software durch einen Spionageskandal in Griechenland. Bild: Pexels/@anthonybbeck

Einsatz von Predator-Software im Bürgerkrieg

Im April 2023 führte der schon länger im Sudan bestehende Machtkampf zwischen Staatschef Abdel Fattah al-Burhan und der paramilitärischen Rapid-Support-Forces RSF unter Mohammed Hamdan Daglo zu einem Bürgerkrieg. Es kam nicht nur, wie in der Presse zu lesen war, zu einer groß angelegten Evakuierungsbewegung, sondern auch zu zahlreichen verletzten und getöteten Zivilisten. Weitere humanitäre Folgen sind derzeit kaum abschätzbar, aktuell droht dem Sudan unter anderem eine Hungersnot.

Wahrscheinlich stimmen Sie zu, dass es ohne Frage untertrieben wäre, entsprechende Zustände als dramatisch zu bezeichnen, doch fragen Sie sich wohl nichtsdestotrotz, wieso wir hierüber berichten? Die Antwort ist ganz einfach und ebenso erschreckend: Im Dezember 2022 – wohlgemerkt vor den aktuellen Kämpfen – wurde bereits bekannt, dass Intellexa unter anderem sudanesische Paramilitärs mit Spionageequipment ausgestattet hat.

Kritik an Intellexas Verhalten im Sudan

Recherchen der Medienorganisationen Lighthouse Reports, Greece’s Inside Story und der israelischen Tageszeitung Haaretz, die unter anderem Unternehmensdokumenten, Flugraten und Interviews auswerteten, wiesen – schon im Dezember 2022 – darauf hin, dass der Einsatz entsprechender „High-End-Überwachungstechnologie“, also defacto von Spyware und Co., in den Händen von Paramilitärs das labile System schädigen oder sogar in Chaos stützen lassen könnte.

Anette Hoggmann, Wissenschaftlerin am Clingendael Institut, warnte – bereits im Dezember 2022 – davor, dass der Einsatz von entsprechendem Spionageequipment „die brutale Unterdrückung und Tötung der bemerkenswert mutigen Demonstrant:innen im Sudan verschärfen und die Hoffnungen auf Demokratie in der Region zunichtemachen“ könnte. Immerhin wurden laut Human Rights Watch während ziviler Proteste im Jahr 2019 gegen die bereits Jahrzehnte bestehende Militärdiktatur Omar al-Bashirs von der RSF zahlreiche Morde an Demonstrierenden begangen.

Die Predator-Software ist unter anderem in den Händen von sudanesischen Paramilitärs. Bild: Pexels/@anthonybbeck

Predator-Software in anderen Krisengebieten

Doch wurde die Predator-Software und weitere Angriffsprodukte von Intellexas nicht nur an Paramilitärs ins Bürgerkriegsland Sudan ausgeliefert, sondern laut Recherchen von Lighthouse Reports, Greece’s Inside Story und der israelischen Tageszeitung Haaretz auch an zahlreiche weitere Staaten in Afrika und im Nahen Osten.

Intellexas-Produkte wurden unter anderem an die Vereinigten Arabischen Emirate und Saudi-Arabien verkauft sowie an Waffenhändler, Paramilitärs und andere fragwürdige Organisationen in Mosambik, Angola, Kenia und Äquatorialguinea. Im Mai 2023 haben IT-Sicherheitsforscher von Citizen Lab veröffentlicht, dass die Predator-Software wohl außerdem nach Armenien, Ägypten, Indonesien, Madagaskar, Oman und Serbien verkauft wurde.

Wer steckt hinter Intellexa?

Bei Intellexa handelt es sich um ein im Jahr 2019 gegründetes Firmennetzwerk, in dessen Zentrum der ehemalige israelische Geheimdienstler Tal Dilian steht. Gemeinsam mit zwei Partnern kontrolliert er ein Netzwerk aus Überwachungsunternehmen, das unter anderem Irland, Frankreich, Griechenland, Zypern und die Britischen Jungferninseln überspannt. Laut Medienrecherchen will Dilan mit Intellexa die israelische NSO Group Technologies als Marktführer für Fernüberwachung ablösen.

Auf der eigenen Website beschreibt sich die Intellexa‘ Alliance als in der EU ansässiges und von der EU reguliertes Wirtschaftsunternehmen. Ziel sei die Entwicklung und Integration von Überwachungstechnologien zur Stärkung von Geheimdiensten. Während die Predator-Software als Intellexas Flaggschiff gilt, gehören zum weiteren Produktportfolio unter anderem die Überwachungssoftware Nebula Investigation und die Verteidigungssoftware Orion. Dies gab das Unternehmen unter anderem auf der ISS, der weltweit größten Überwachungsmesse in Prag Ende 2022 bekannt.

Predator wird in einigen Ländern bekanntermaßen als Staatstrojaner eingesetzt. Doch wie sieht es in Deutschland aus? Bild: Pexels/@anthonybbeck

Predator-Software als Staatstrojaner?

Nachdem bekannt geworden ist, dass in mehreren EU-Ländern Späh- und Überwachungsprogramme wie die von der NSO Group entwickelte Pegasus-Software als sogenannte Staatstrojaner eingesetzt wurden, beschäftigt sich seit März 2022 der Untersuchungsausschuss PEGA mit der Prüfung des gezielten Einsatz und Handel von Überwachungssoftware in der EU.

Sophie in ’t Veld, Berichterstatterin des europäischen PEGA-Untersuchungsausschusses, vergleicht die Überwachungstechnologie dabei mit einem Wundbrand, der sich, wenn er erst einmal einen Körper befällt, nur schwer wieder eindämmen lässt. Auch der Frage, ob deutsche Sicherheitsbehörden Software von Intellexa oder ihrem Tochterunternehmen CYTROX einsetzen, wurde in den vergangenen Jahren aktiv nachgegangen.

Bundesbehörde ZITiS in Kontakt mit Intellexa

So hat die Linkspartei eine offizielle mehrteilige Anfrage über den Einsatz der Predator-Software und weiterer Intellexa-Software an die Bundesregierung gestellt. Die meisten Anfragen bleiben allerdings unbeantwortet, da die Bundesregierung sich auf das Staatswohl beruft. Selbst in eingestufter Form verweigert sie Antworten und behauptet, dass diese die Arbeitsfähigkeit und Aufgabenerfüllung der betroffenen Sicherheits- und Strafverfolgungsbehörden sowie Nachrichtendienste erheblich gefährden würden.

Allerdings wurde der Kontakt zur Intallexa bestätigt: Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) stehe seit 2021 in Kontakt mit Vertretern des Unternehmens Intellexa und deren Tochterunternehmen CYTROX, „um im Rahmen einer Marktsichtung Informationen über das Portfolio des Unternehmens zu erhalten. Dies beinhaltet ebenso eine Beschäftigung mit den von dem Unternehmen angebotenen Produkten und Leistungen.“

Der Kontakt beinhalte auch eine Auseinandersetzung mit den angebotenen Produkten und Leistungen des Unternehmens, hieß es weiter. Die ZITiS ist dafür verantwortlich, Bundesbehörden in Fragen der Digitalen Forensik, Telekommunikationsüberwachung und Kryptoanalysen zu unterstützen.

Bekanntermaßen waren Bundesbehörden an der Anschaffung von Predator und Co. mindestens interessiert. Bild: Pexels/@ingo

Bernd Schmidbauer als Intellexa-Lobbyist

Recherchen von SWR und Die Welt zufolge scheint der ehemalige Geheimdienstkoordinator Bernd Schmidbauer als Lobbyist und Vermittler für Intellexa bei Bundesbehörden aktiv gewesen zu sein. Schmidbauer, der zuletzt nach der Wirecard-Pleite Schlagzeilen machte, wird vorgeworfen, seine Beziehungen zu nutzen, um dem Unternehmen Zugang zu Regierungsstellen zu verschaffen. Laut vorliegender Informationen musste Schmidbauer nach seinem kontroversen Auftritt im Bundestag im August 2021 im Kanzleramt Rede und Antwort stehen und wurde auf seine anhaltenden Verschwiegenheitspflichten hingewiesen wurde.

Nach diesem Vorfall scheint Schmidbauer auch als Repräsentant für die Produkte der Intellexa-Firmengruppe aufgetreten zu sein. Den Recherchen zufolge nahm er im November 2021 telefonisch und per E-Mail Kontakt zum damaligen Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, auf, um ein Treffen mit Intellexa zu arrangieren. Obwohl der E-Mail-Verkehr an die zuständige Fachabteilung im BSI weitergeleitet wurde, kam es anscheinend nie zu einem tatsächlichen Treffen.

ZITiS sieht sich CYTROX an

Im Februar 2022 fand jedoch ein Treffen zwischen Schmidbauer und dem Präsidenten der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) statt. Ein Sprecher von ZITiS bestätigte den Termin mit Schmidbauer, betonte jedoch, dass es darüber hinaus keine weiteren Kontakte zu ihm gegeben habe. Im Mai 2022 gelang es Schmidbauer, den Vizepräsidenten des Bundesamtes für Verfassungsschutz telefonisch zu erreichen, was schließlich Anfang Juli zu einem Treffen mit Mitarbeitern des BfV führte; mit dem Ziel, Intellexa-Tochterfirma CYTROX vorzustellen.

Die Anwerbung hochrangiger Beamter aus Sicherheitsbehörden durch Lobbyakteure kann äußerst problematisch sein, da sie Zugang zu vertraulichem Insiderwissen und Kontakten erhalten. Darüber hinaus können schwerwiegende Interessenkonflikte entstehen, betont Timo Lange von Lobbycontrol.

Die Predator-Software ist für alle Privatpersonen, Selbstständigen und Firmen eine ernstzunehmende Gefahr. Bild: Pexels/@gabby-k

Predator-Software: Gefahr für Firmen

Nicht nur für demokratisch agierende Oppositionsparteien oder friedliche Demonstranten ist Spionagesoftware wie die Predator-Software eine große Gefahr, sondern auch für alle Privatpersonen und Unternehmen. Während grundsätzlich jeder im Fokus von Cyberkriminellen stehen kann, sind in Zeiten des Cyberkriegs besonders kleine und mittelständische Unternehmen ein beliebtes Ziel für wirtschaftliche Angriffe oder Wirtschaftsspionage.

Zudem ist nicht davon auszugehen, dass Intellexa davor Halt macht, die hochentwickelte Spionagesoftware auch an systemfeindliche Gruppierungen zu verkaufen, die gern europäische Unternehmen ins Visier nehmen würden. Wie wichtig ein proaktiver Schutz ist, sieht man unter anderem an regelmäßigen Cybercrime-Vorfällen.

Schutz vor Predator-Software

Da Predator eine enorme Bedrohung für die Privatsphäre und Sicherheit von privat und geschäftlich eingesetzten Mobilgeräten darstellt, ist es wichtig, geeignete Schutzmaßnahmen zu ergreifen. Dazu gehören regelmäßige Updates des Betriebssystems, die Installation vertrauenswürdiger Sicherheitssoftware, starke Passwortsicherheit und die Achtsamkeit beim Herunterladen von Apps.

Mithilfe dieser Maßnahmen können Sie Ihr mobiles Endgerät vor potenziellen Angriffen durch die Predator-Software und ähnliche Spionagesoftware schützen. Kontaktieren Sie beim kleinsten Verdacht auf eine Infiltrierung Ihres Geräts am besten umgehend einen Experten. PC-SPEZIALIST in Ihrer Nähe kennt sich Schadsoftware wie der Predator-Software bestens aus und steht Ihnen mit Rat und Tat zur Seite.

Für Privatkunden bietet sich für die kontinuierliche IT-Sicherheit das Eins-für-Alles-Paket an, für Firmen und Selbstständige haben wir den IT-Basisschutz im Portfolio, der für die grundlegende Absicherung Ihrer Firmen-IT sorgt.

_______________________________________________

Weiterführende Links: Cisco Talos, heise.de, heise.de, Tagesschau, Tagesschau, Netzpolitik, Netzpolitik, Lighthouse Reports, Human Rights Watch,