Mitglieder der Zivilgesellschaft, Journalist*innen, Politiker*innen und Akademiker*innen in der EU, den USA und Asien wurden mit Hilfe der Spyware Predator angegriffen. Dies ist das Ergebnis einer neuen Untersuchung, die von Amnesty International in Zusammenarbeit mit dem journalistischen Recherchenetzwerk European Investigative Collaborations (EIC) durchgeführt wurde. Die Intellexa-Allianz, die diese Software vermarktet, umfasst Unternehmen in verschiedenen Staaten, auch in der Schweiz.
Mindestens 50 Konten von 27 Einzelpersonen und 23 Institutionen wurden zwischen Februar und Juni 2023 via die Social-Media-Plattformen X (ehemals Twitter) und Facebook mit einer Spionagesoftware angegriffen. Als Cyber-Überwachungswaffe wurde ein invasives Spionageprogramm namens Predator eingesetzt, das von der Intellexa-Allianz entwickelt und verkauft wurde. Bei dieser Allianz, die sich selbst als «in der EU ansässig und reguliert» bezeichnet, handelt es sich um eine komplexe und häufig wechselnde Gruppe von Unternehmen, die Überwachungsprodukte − einschliesslich der Spyware Predator − entwickelt und verkauft. Die Intellexa Allianz vereint die Intellexa-Gruppe mit dem Nexa-Konsortium, das hauptsächlich von Frankreich aus operiert.
Predator ist eine hochgradig invasive Spionagesoftware. Das bedeutet, dass sie, sobald sie in ein Gerät eingedrungen ist, ungehinderten Zugang zu dessen Mikrofon und Kamera sowie zu allen Daten wie Kontakten, Nachrichten, Fotos und Videos hat, ohne dass der Benutzer davon etwas mitbekommt. Solche Spionageprogramme können derzeit nicht unabhängig überprüft oder in ihrer Funktionalität auf die Funktionen beschränkt werden, die für einen bestimmten Zweck notwendig und angemessen sind.
«Wieder einmal haben wir Beweise dafür, dass leistungsstarke Überwachungsinstrumente für dreiste Angriffe eingesetzt werden. Die Ziele sind dieses Mal Journalist*innen im Exil, Persönlichkeiten des öffentlichen Lebens und Vertreter*innen von internationalen Institutionen. Das heisst jedoch: Betroffen sind wir alle, unsere Gesellschaften, eine gute Regierungsführung und die Menschenrechte aller», sagte Agnes Callamard, internationale Generalsekretärin von Amnesty International. «Die Intellexa-Allianz, die in Europa ansässigen Entwickler*innen von Predator und anderen Überwachungsprodukten, haben nichts unternommen, um einzuschränken, wer diese Spionagesoftware nutzen kann und zu welchem Zweck. Sie ignorieren die schwerwiegenden Folgen für die Menschenrechte und stellen den Profit vor alles. Nach diesem jüngsten Skandal besteht die einzig wirksame Reaktion der Staaten darin, ein sofortiges globales Verbot hochgradig invasiver Spionagesoftware zu verhängen.»
In dem umfassenden Bericht «The Predator Files: Caught in the Net – The Global Threat from ‚EU Regulated‘ Spyware», der am 9. Oktober 2023 vom Security Lab von Amnesty International veröffentlicht wurde, werden unter anderem die Präsidentin des Europäischen Parlaments, Roberta Metsola, die taiwanesische Präsidentin Tsai Ing-Wen, der US-Kongressabgeordnete Michael McCaul, der US-Senator John Hoeven, die deutsche Botschafterin in den Vereinigten Staaten, Emily Haber, und der französische Europaabgeordnete Pierre Karleskind als Zielpersonen genannt. Nicht alle dieser Zielpersonenen wurden infiziert. Mehrere Beamt*innen, Wissenschaftler*innen und Institutionen wurden ebenfalls angegriffen.
Eine Flut von Angriffen
Ein Account bei X (früher Twitter) mit dem Namen ‚@Joseph_Gordon16‘ teilte viele der identifizierten Angriffslinks, die darauf abzielten, Ziele mit der Predator-Spionagesoftware zu infizieren. Ein früher Angriff dieser Art galt dem in Berlin lebenden Journalisten Khoa Lê Trung, der aus Vietnam stammt. Khoa Lê Trung ist Chefredakteur von thoibao.de, einer in Vietnam blockierten Nachrichten-Website. Seit 2018 ist er wegen seiner Berichterstattung mit Morddrohungen konfrontiert. Der Angriff war zwar erfolglos, ist aber von besonderer Bedeutung, da die Website und der Journalist ihren Sitz in der EU haben und alle EU-Mitgliedstaaten verpflichtet sind, den Verkauf und die Weitergabe von Überwachungstechnologien zu kontrollieren.
«Man kann die Überwachungstechnologien nicht einfach an Länder wie Vietnam verkaufen. Das schadet auch der Pressefreiheit und der Meinungsfreiheit der Menschen hier in Deutschland», sagte Khoa gegenüber Amnesty International.
Die Untersuchung von Amnesty International ergab, dass der Account «@Joseph_Gordon16» enge Verbindungen zu Vietnam hatte und möglicherweise im Auftrag vietnamesischer Behörden oder Interessengruppen handelte.
Links zu Regierungen
Im April 2023 beobachtete das Security Lab von Amnesty International, dass der Nutzer «@Joseph_Gordon16» mehrere Wissenschaftler*innen und Beamt*innen, die sich mit maritimen Themen befassen, ins Visier nahm, insbesondere jene, die für die EU- und Uno im Bereich der illegalen oder undokumentierten Fischerei arbeiten.
Vietnam wurde 2017 von der Europäischen Kommission wegen illegaler, nicht gemeldeter und unregulierter Fischerei mit einer «gelben Karte» verwarnt.
«Wir haben Dutzende von Fällen beobachtet, in denen ‚@Joseph_Gordon16‘ einen bösartigen Link zu Predator in öffentlichen Social-Media-Posts eingefügt hat. Manchmal schien es sich bei dem Link um ein harmloses Nachrichtenmagazin wie die South China Morning Post zu handeln, um den Leser zu verleiten, darauf zu klicken», sagte Donncha Ó Cearbhaill, Leiter des Security Lab von Amnesty International.
«Unsere Analyse hat gezeigt, dass das Anklicken des Links dazu führen kann, dass das Gerät der Leser*innen mit Predator infiziert wird. Wir wissen jedoch nicht, ob ein Gerät infiziert wurde, und wir können nicht mit absoluter Sicherheit sagen, dass die Täter*innen in der vietnamesischen Regierung selbst sassen. Aber klar ist: Die Interessen des Accounts und der vietnamesischen Behörden liegen sehr nahe beieinander.»
«Wir glauben, dass diese Predator-Angriffsinfrastruktur mit einem staatlichen Akteur in Vietnam in Verbindung steht», sagt die Sicherheitsforscher von Google, die die bösartigen Links auch unabhängig analysiert haben, gegenüber Amnesty International.
Bei der Untersuchung wurden auch Beweise dafür gefunden, dass ein Unternehmen der Intellexa-Allianz Anfang 2020 mit dem vietnamesischen Ministerium für öffentliche Sicherheit (MOPS) einen Vertrag über «Infektionslösungen» im Wert von mehreren Millionen Euro mit dem Codenamen «Angler Fish» unterzeichnet hat. Dokumente und Exportaufzeichnungen bestätigten zudem den Verkauf von Predator an das Ministerium über Maklerfirmen.
Globale Ausbreitung
Predator kann auch für Zero-Click-Angriffe verwendet werden, d. h. es kann ein Gerät infiltrieren, ohne dass der*die Benutzer*in auf einen Link geklickt hat. Dies kann beispielsweise durch so genannte «taktische Angriffe» geschehen, mit denen Geräte in der Nähe infiziert werden können. Hochgradig invasive Spionageprogramme können derzeit nicht unabhängig überprüft oder in ihrer Funktionalität eingeschränkt werden. Daher ist es äusserst schwierig, Missbrauch im Zusammenhang mit ihrer Verwendung zu untersuchen.
Die Untersuchung ergab, dass Produkte der Intellexa-Allianz in mindestens 25 Länder verkauft wurden, darunter die Schweiz, Österreich und Deutschland. Weitere Kunden sind der Kongo, Jordanien, Kenia, Oman, Pakistan, Katar, Singapur, die Vereinigten Arabischen Emirate und Vietnam. Predator wurde zur Untergrabung der Menschenrechte, der Pressefreiheit und sozialer Bewegungen auf der ganzen Welt verwendet.
Die Intellexa-Allianz hat Niederlassungen in verschiedenen Staaten, darunter Frankreich, Deutschland, die Schweiz, Griechenland, Irland, die Tschechische Republik, Zypern, Ungarn, Israel, Nordmazedonien und die Vereinigten Arabischen Emirate (UAE).
Amnesty International fordert alle diese Staaten auf, alle der Intellexa-Allianz erteilten Vermarktungs- und Exportlizenzen unverzüglich zu widerrufen. Diese Staaten müssen ausserdem eine unabhängige, unparteiische und transparente Untersuchung durchführen, um das Ausmass der unrechtmässigen Angriffe zu ermitteln.
Amnesty International fordert die Intellexa-Allianz auf, die Produktion und den Verkauf von Predator und anderer ähnlich invasiver Spionagesoftware einzustellen, die keine technischen Sicherheitsvorkehrungen enthalten, die ihren rechtmässigen Einsatz im Rahmen eines die Menschenrechte achtenden Rechtsrahmens ermöglichen. Ausserdem sollte sie den Opfern unrechtmässiger Überwachung eine angemessene Entschädigung oder andere Formen wirksamer Wiedergutmachung zukommen lassen.
Amnesty International hat Gefährdungsindikatoren veröffentlicht, um Technologie-Expert*innen der Zivilgesellschaft dabei zu helfen, diese Spionageprogramme zu erkennen und darauf zu reagieren.
Amnesty International hat die beteiligten Unternehmen um Stellungnahme gebeten, aber keine Antwort erhalten. Das EIC hat eine Antwort von Aktionär*innen und ehemaligen Führungskräften der Nexa-Gruppe erhalten, die behaupten, dass die Intellexa Alliance nicht mehr existiert. In Bezug auf den Export von Überwachungssoftware geben sie an, dass entweder «eine Geschäftsbeziehung in voller Übereinstimmung mit den geltenden Vorschriften hergestellt wurde oder es nie einen Vertrag und/oder eine Lieferung gegeben hat». Schliesslich behaupten sie, die Unternehmen der Intellexa Alliance hätten «die Exportbestimmungen peinlich genau eingehalten». Sie hätten aber «Handelsbeziehungen» mit Ländern aufgebaut, «die in Bezug auf die Rechtsstaatlichkeit alles andere als perfekt waren». Dies sei häufig auf «politische Entscheidungen» der französischen Regierung zurückzuführen.
Amnesty International hat das vietnamesische Ministerium für öffentliche Sicherheit schriftlich um eine Stellungnahme gebeten, aber keine Antwort erhalten.
