MESOP MIDEAST WATCH : Israel torpedierte Marokkos Spyware-Deal – und NSO-Konkurrent QuaDream wurde geschlossen

Avi Scharf  

HAARETZ  ISRAEL

  
  23-5-23 – Quashed dream: It was long considered the biggest threat to NSO, the most famous, and infamous, of Israel’s cyber weapons makers. It sold its zero-click iPhone infection tech to Saudi Arabia. And it was developing a “terrifying” new spyware. Then, last month, it decided to shut down. Our investigation reveals what brought about QuaDream’s collapse, including leaked code, screenshots of the spyware, and an international deal torpedoed by the Israeli authorities.

Quadream bot Zero-Click-Infektionen für das iPhone an. Durchgesickerter Code enthüllt, dass ihre Spyware WhatsApp missbraucht haben könnte ■ Firma hat auch “erschreckende” neue Spyware entwickelt

Omer BenjakobJurre van Bergen –  23. Mai 2023 9:16 IDT

QuaDream, ein israelischer Boutique-Spyware-Hersteller, der einst Kunden in Saudi-Arabien hatte, galt lange Zeit als die größte lokale Bedrohung für die NSO Group, den berühmtesten und berüchtigtsten Cyberwaffenhersteller des Landes. Die Spyware von QuaDream war die einzige, die mit dem Flaggschiffprodukt von NSO, Pegasus, konkurrieren konnte, das wegen Missbrauchs durch Kunden auf der ganzen Welt, die die mächtige Spionagewaffe gegen Aktivisten und Journalisten richteten, unter die Lupe genommen wurde. Pegasus ermöglicht es, das iPhone einer Person ohne deren Zutun ins Visier zu nehmen und den kontinuierlichen Zugriff auf das Gerät aufrechtzuerhalten, alles ohne deren Wissen.

Reign, die Zero-Click-Spyware von QuaDream, ermöglicht es ihrem Betreiber, das Gleiche zu tun und die volle Kontrolle über ein Ziel-Smartphone sowie uneingeschränkten Zugriff auf Sofortnachrichten von Diensten wie WhatsApp, Telegram und Signal zu haben – sowie auf E-Mails, Fotos, Texte und Kontakte, gemäß dem von Haartez erhaltenen Code. Erst vor wenigen Wochen teilte das Unternehmen seinen Mitarbeitern jedoch mit, dass es schließen werde.

Code und Dokumente, die von Forschern erhalten wurden und deren Wahrheitsgehalt von Haaretz bestätigt wurde, haben nun die bisher unbekannte Software des Unternehmens enthüllt. Fünf verschiedene Quellen, die mit der israelischen Spyware-Industrie vertraut sind, sagen, dass das Unternehmen, das die Aufsichtsbehörden lange getestet hat, beschlossen hat, zu schließen, nachdem es keine Genehmigung für den Verkauf seiner Spyware an neue Kunden (einschließlich Marokko) erhalten hatte.

Darüber hinaus hat QuaDream laut Quellen, die mit dem Unternehmen und seinen Aktivitäten vertraut sind, auch stark in eine Reihe neuer Produkte und Fähigkeiten investiert, die nicht ausgereift sind und es nicht auf den Markt geschafft haben. Laut zwei der Quellen gehörte dazu die Erweiterung des Umfangs ihrer Spyware, um auch Android-Geräte hacken zu können – sowie die Entwicklung einer “erschreckenden” neuen Form von Spyware. Da das Unternehmen nicht in der Lage war, neue Geschäfte abzuschließen, und sowohl diese als auch andere Bemühungen nicht zum Tragen kamen – wenn auch aus unterschiedlichen Gründen – beschloss das Unternehmen, seine Verluste zu begrenzen und das Geschäft zu schließen.

QuaDream arbeitet nun daran, einige seiner Vermögenswerte an lokale Konkurrenten zu verkaufen, so zwei der Quellen. Die Forschungsteams und die scheidenden Mitarbeiter führen Interviews mit anderen offensiven Cyberfirmen, heißt es.

Zero-click, WhatsApp

Teile des Codes von QuaDream, der wahrscheinlich versehentlich von einem Mitarbeiter durchgesickert war, enthüllten nicht nur die Existenz von Reign, sondern auch Blue Spear – ein bisher unbekanntes Programm, das als Webschnittstelle zu dienen scheint, über die die Zielgeräte wahrscheinlich infiziert werden. (Klicken Sie hier für eine vollständige technische Analyse)

Blue Spear scheint als Webschnittstelle zu dienen, über die die Zielgeräte wahrscheinlich infiziert werden

In der linken Menüleiste des Programms, wahrscheinlich eine Demoversion des echten Programms, können Operatoren neue “Fälle” öffnen, und jeder Fall kann mehrere Missionen haben – das heißt, mehrere infizierte Telefone. Jeder Fall listet einen Manager, Zuschauer sowie eine “Blacklist” und “Whitelist” von Telefonnummern auf, die ins Visier genommen werden können (und vermutlich auch nicht).

Der Code und die Screenshots der Weboberfläche, die in einigen Fällen auch Quantum genannt wird, wurden in einem beliebten Online-Repository gefunden, das von Programmierern verwendet wird, um Code zu teilen, zu speichern und gemeinsam daran zu arbeiten. Es wurde dort von einem Benutzer mit einem QuaDream-E-Mail-Konto hochgeladen. Andere, die ähnliche organisatorische E-Mails verwendeten, interagierten ebenfalls mit dem Code.

“Der offengelegte Quellcode teilt Netzwerkartefakte mit Proben der Reign-Spyware, die vom Amnesty International Security Lab gesehen wurden, was bestätigt, dass dieser Code intern von QuaDream entwickelt wurde”, sagte Donncha Ó Cearbhaill, ein ethischer Hacker, der die technische Forschungsabteilung der Menschenrechtsorganisation leitet und sich auf Untersuchungen von Cyberangriffen gegen die Zivilgesellschaft konzentriert.

Cearbhaill bestätigt, dass dieser Code intern in Quadream ist, merkt aber an, dass es sich eher um eine Demo als um ein taktisches Arbeitssystem handeln könnte. Der Code gibt jedoch Aufschluss über die Geschichte der von QuaDream verkauften Spyware und zeigt die Absichten und frühen Entwicklungen des Unternehmens.

Reuters berichtete zuvor, dass das Unternehmen im Jahr 2021 in Zusammenarbeit mit NSO und mit einer sehr ähnlichen Methode Zero-Click-Funktionen entwickelt hatte. Der jetzt enthüllte Code ist jedoch auf Mai 2019 datiert, was darauf hindeutet, dass die Spyware des Unternehmens früher als gedacht aktiv war.

Reuters beschrieb die Funktionen von 2021 als Ausnutzung einer Lücke im iMessage-Dienst des iPhones. Kürzlich veröffentlichten Citizen Lab und Microsoft eine detaillierte Untersuchung des Unternehmens, aus der hervorging, dass es bereits 2019 andere Apple-Dienste ausgenutzt hatte, um Zugang zu iPhones zu erhalten. Laut dem Code könnte QuaDream jedoch bis 2019 – wenn nicht sogar 2018 – auch versucht haben, WhatsApp für Infektionen zu verwenden.

Laut Codestücken, die im Repository gefunden wurden, ist WhatsApp einer der Hauptvektoren – ein Begriff, der in der Branche verwendet wird, um die Infektionsmethode zu beschreiben –, über die Reign auf den Geräten eines Ziels installiert wird.

Es ist unklar, ob das System eine Sicherheitslücke in WhatsApp ausnutzt oder die App nur verwendet, um schändliche Nachrichten zu senden, die einen Link zur Spyware enthalten.

QuaDream entwickelte Zero-Click-Kabel für iPhones, die in Bezug auf die Qualität nur von NSO als zweitrangig angesehen wurden – die auch Geräte hackten, indem sie WhatsApp ausnutzten. Laut einer Quelle, die mit Haaretz sprach, hoffte das Unternehmen jedoch, mit NSO und anderen über den Android-Hacking-Markt konkurrieren zu können. Es ist möglich, dass WhatsApp der Vektor für Android-Angriffe sein sollte.

Der Code enthüllt auch einen weiteren Angriffsvektor, der auf Telefone über WLAN-Netzwerke abzuzielen scheint. Es war nicht klar, ob diese Bemühungen Früchte trugen und verkauft wurden.

“Invasive neue Angriffsvektoren wie ‘Zero-Clicks’ in WhatsApp oder taktisches WLAN stellen eine große Bedrohung für Menschenrechtsverteidiger dar. Sie machen eine ohnehin schon ernste Bedrohung noch heimtückischer und schwieriger zu erkennen, indem sie es Menschenrechtsverletzern ermöglichen, Kritiker unbemerkt und unbemerkt ins Visier zu nehmen”, sagt Cearbhaill von Amnesty.

Der Eingang zu den Büros von Quadream außerhalb von Tel Aviv, 2022 Nir Elias / REUTERS

Letztes Jahr, so die Quellen, gab QuaDream diese Bemühungen auf, auch aufgrund der Tatsache, dass es keine behördliche Genehmigung für ihre Verkäufe erhalten hatte. Das dahinter stehende Team verließ das Unternehmen und wurde fast vollständig von einem lokalen Konkurrenten integriert.

Zypriotische Server

Zwei Monate bevor Apple die iMessage-Sicherheitslücke patchte, die sowohl von QuaDream als auch von NSO ausgenutzt wurde und als Forced Entry bekannt ist, enthüllte Gur Megido von Haaretz der Welt erstmals die Existenz des ehemaligen Unternehmens. Er outete auch seinen größten Kunden: Saudi-Arabien.

Während der Deal von NSO mit Saudi-Arabien jedoch über israelische diplomatische Hinterkanäle zustande kam und den Segen der israelischen Rüstungsexportbehörde erhielt, wurde der Verkauf von QuaDream über eine zypriotische Firma namens InReach abgewickelt. Diese Firma liegt angeblich außerhalb des Zuständigkeitsbereichs der israelischen Aufsichtsbehörden für Rüstungsexporte.

Viele israelische Unternehmen nutzen seit langem zypriotische Tochtergesellschaften, um ihre regulierten Geschäfte zu erweitern. Während sich einige israelische Firmen dafür entschieden haben, sich ganz dorthin zu verlagern, haben QuaDream und seine Verbindungen zu InReach die israelischen Regulierungsbehörden “getestet”, sagen Quellen.

InReach wurde laut Rechtsdokumenten in Zypern gegründet, um den Verkauf der in Israel entwickelten Produkte von QuaDream außerhalb des Landes zu fördern. Quellen und Dokumente, die Haaretz erhalten hat, scheinen darauf hinzudeuten, dass die Firma etwa ein Jahr lang von Zypern aus operierte. Sie schlagen vor, dass es einige seiner Entwicklungsaktivitäten in Israel im Jahr 2019 beendete, einen Teil des israelischen Personals entließ (einschließlich des Entwicklers, der den Code online stellte), andere nach Limassol verlegte und dann den Betrieb der zypriotischen Büros bis August 2020 ganz auflöste.

Das QuaDream-E-Mail-Konto, das mit dem Code-Repository verknüpft ist, wurde auch für eine Stellenausschreibung verwendet, um zu versuchen, neue Mitarbeiter über ein weiteres Unternehmen für das Unternehmen zu gewinnen, wobei der Besitz eines “ausländischen Passes” als Vorteil beschrieben wurde. “Sie werden keine Website finden, wir bleiben gerne unter dem Radar”, schrieb 4dco, das vermeintliche Unternehmen hinter dem Posting, um sich selbst auf der Headhunting-Seite zu beschreiben.

QuaDream und InReach begannen im Jahr 2020 einen langwierigen Rechtsstreit über Vorwürfe, dass QuaDream seine Zusage nicht eingehalten und InReach seinen Umsatzanteil nicht gezahlt habe. Der Rechtsstreit endete mit einem Vergleich in Höhe von 5 Millionen US-Dollar.

Marokkanische Leiden

Als Reaktion auf die Gegenreaktionen auf den saudischen Deal und seit dem Streit mit seinem zypriotischen Arm sagen Quellen, dass QuaDream unter strenger israelischer Aufsicht gearbeitet hat.

NSO ist im Westen seit langem erfolgreich und dominiert immer noch den europäischen Markt. Aber es ist berüchtigt für die Zusammenarbeit mit Kunden in weniger demokratischen Teilen der Welt durch Verkäufe, die von Israel im Rahmen der “Cyber-Diplomatie” von Premierminister Benjamin Netanjahu unterstützt und aktiv unterstützt werden.

Da QuaDream nicht in der Lage war, mit NSO innerhalb der EU zu konkurrieren und auf Netanjahus digitale Waffenpolitik setzte, konzentrierte es seine Vertriebsbemühungen auf Geheimdienste und Strafverfolgungsbehörden in Asien, Afrika und der arabischen Welt – Länder, die keine eigene Spyware entwickeln können oder die es nicht geschafft haben, einen Deal mit NSO abzuschließen.

In den letzten zwei Jahren hat QuaDream laut drei der Quellen Gespräche mit mindestens vier solcher Nationen geführt. Die Gespräche erhielten zunächst den Segen Israels – das Anbieten fortschrittlicher Spionagesoftware an ausländische Nationen erfordert eine Genehmigung – aber die endgültigen Vereinbarungen taten dies nicht.

Der größte Deal war mit Marokko. Die Gespräche sollen im August 2021 begonnen haben. Das Königreich, das im Rahmen des Abraham-Abkommens die Beziehungen zu Israel normalisierte, gilt seit langem als Kunde von NSO. Israel verbot ihm jedoch den Import von Cybertechnologie, nachdem Berichte darauf hindeuteten, dass es Pegasus missbraucht hatte, um hochrangige Beamte in Europa, darunter in Frankreich und Spanien, ins Visier zu nehmen.

Behauptungen, dass Pegasus von marokkanischen Betreibern benutzt wurde, um ein Telefon anzugreifen, das mit dem französischen Präsidenten Emannuel Macron verbunden war, lösten eine kleine diplomatische Krise zwischen Jerusalem und Paris aus, wobei der damalige Verteidigungsminister Benny Gantz Frankreich besuchte, um zu versuchen, ihre Bedenken zu zerstreuen.

Quellen zufolge hat NSO es versäumt, die Genehmigung zur Verlängerung seines Vertrags in Marokko zu erhalten. Auch QuaDream, dessen Gespräche mit Marokko zuvor begonnen hatten, erhielt kein grünes Licht.

“Die Versuche von QuaDream, ihre Spyware-Tools nach Marokko zu verkaufen, nachdem zahlreiche Berichte über den Missbrauch von Spyware gegen Journalisten und die Zivilgesellschaft gemeldet wurden, zeigen die völlige Unfähigkeit der kommerziellen Spyware-Industrie, sich selbst zu überwachen. Obskure Unternehmensstrukturen sollten es der Spyware-Industrie nicht erlauben, selbst die minimal vorhandenen Kontrollen zu umgehen. Extrem invasive Spyware-Tools mit Funktionen wie Reign sollten verboten werden, da ihr Missbrauchspotenzial einfach zu hoch ist”, sagte Cearbhaill von Amensty.

Inmitten einer breiteren globalen Debatte über solche Spyware und die Regulierung ihres Verkaufs wurde die endgültige Entscheidung von QuaDream, Spyware zu schließen, laut Quellen durch Israels Entscheidung im Herbst 2021 angeheizt, die lokale Cyberwaffenindustrie drastisch zurückzuziehen. Israel unternahm diesen Schritt nach den Enthüllungen des Projekts Pegasus über die Aktivitäten von NSO und im Zuge der amerikanischen Wut über den Missbrauch seiner Spionagesoftware.

Im November 2021 wurde bekannt, dass ein Kunde in Afrika Pegasus verwendet hatte, um Beamte des US-Außenministeriums auszuspionieren. Infolgedessen setzten die USA zwei israelische Firmen, Candiru und NSO, auf die schwarze Liste. Letzterer sah sich bereits mit Klagen von Apple und Meta, dem Eigentümer von WhatsApp, konfrontiert, weil er die Messaging-App zur Infektion von Geräten verwendet hatte.

Als Reaktion darauf vollzog Israel eine Kehrtwende und kürzte die Liste der Länder, in die der Verkauf von offensiven Cybertechnologien erlaubt war, drastisch von etwa 100 auf etwas mehr als 35, die meisten davon westliche Demokratien. Der Schritt brachte die lokale Industrie ins Trudeln und führte dazu, dass eine Reihe von Unternehmen schließen mussten.

QuaDream, das seine zypriotische Front nicht mehr nutzte und stark in Gespräche mit vier nicht-westlichen Staaten investierte, erhielt keine Genehmigung zur Verlängerung vieler seiner bestehenden Verträge und verlor die Hoffnung, dass eines seiner neuen Abkommen genehmigt wird.

Das Unternehmen hatte viel in die Entwicklung von Spyware investiert, die Quellen als “neue Formen” bezeichneten, aber es gelang ihm entweder nicht, ein funktionierendes Produkt zu erreichen oder von Israel grünes Licht für den Verkauf einer Technologie zu erhalten, die immer noch als äußerst sensibel angesehen würde. QuaDream ist nicht das einzige Unternehmen, das an der Entwicklung solcher Technologien gearbeitet hat, aber es scheint das einzige Unternehmen zu sein, das auf ihre Einführung gesetzt hat, um zu überleben.

Trotz Netanjahus Rückkehr an die Macht und der erwarteten Lockerung des regulatorischen Griffs Israels – um die Verkäufe an weniger demokratische Staaten zu erneuern – beschloss das Management von QuaDream, seine Verluste vollständig zu reduzieren, als Citizen Lab und Microsoft einen Bericht veröffentlichten, in dem seine Aktivitäten aufgedeckt wurden.

Laut einer hochrangigen Quelle mit Kenntnissen der Spyware-Branche ist der Aufstieg und Fall von QuaDream ein Paradebeispiel für die Veränderungen, die in den letzten Jahren im israelischen offensiven Cyberraum stattgefunden haben. “Sie hatten gehofft, NSO NSO zu übertreffen, aber Israels Entscheidung, die Verkäufe gemäß den amerikanischen Anforderungen zurückzuziehen und strenge Vorschriften einzuführen, zog ihnen den Markt unter den Füßen weg”, sagt die Quelle. “Wenn man nicht an Orte außerhalb Europas und der USA verkaufen kann, dann ist der Markt einfach nicht groß genug für alle Unternehmen, und nur die großen werden überleben.”

Nationale Sicherheit &; Cyber

QuaDream, NSO und das israelische Verteidigungsministerium lehnten eine Stellungnahme ab. WhatsApp, das derzeit NSO verklagt, sagte als Antwort: “Die Spyware-Industrie arbeitet ohne Rechenschaftspflicht und ohne völlige Missachtung der Privatsphäre und Sicherheit von Menschen auf der ganzen Welt, indem sie Fehler in mobilen Betriebssystemen ausnutzt. Unser Fokus liegt darauf, die Sicherheit unserer Produkte zu verbessern und mit anderen zusammenzuarbeiten, um Unternehmen wie dieses zur Rechenschaft zu ziehen.”