Von Kit Klarenberg
Durchgesickerte Schulungsvideos und neue Beweise entlarven Intellexa als mehr als nur ein skrupelloses Überwachungsunternehmen. Das israelische Unternehmen ist eine Säule der globalen Cyberkriegsführungsinfrastruktur Tel Avivs und infiltriert weltweit Telefone durch „Zero-Click“-Methoden, werbebasierte Infektionen und verdeckte Partnerschaften mit autoritären Regierungen.
Eine neue Studie von Amnesty International deckt wichtige Aktivitäten von Intellexa auf, einem mit Israel verbundenen Spyware-Konsortium, das für Massenüberwachung und Menschenrechtsverletzungen auf mehreren Kontinenten verantwortlich ist. Dazu gehört auch „Predator“, ein äußerst invasives Tool, das Smartphones kapert, um alles Mögliche zu stehlen, von Kameraaufnahmen über verschlüsselte Chats bis hin zu GPS-Standorten und E-Mails. Dies ist nur das jüngste Beispiel dafür, dass ein mit Israel verbundener Spyware-Spezialist ohne Rücksicht auf Gesetze handelt. Der Bericht von Amnesty konzentrierte sich jedoch nicht auf diesen Aspekt und beschränkte sich auf die technischen Details, sodass das volle Ausmaß der Rechtsverletzungen weitgehend im Dunkeln blieb. Intellexa gehört zu den berüchtigtsten Anbietern von „Söldner-Spyware“ weltweit. Im Jahr 2023 wurde das Unternehmen von der griechischen Datenschutzbehörde mit einer Geldstrafe belegt, weil es den Untersuchungen der Behörde nicht nachgekommen war.
Ein laufendes Gerichtsverfahren in Athen beschuldigt Intellexa-Funktionäre und lokale Geheimdienste, die Telefone von Regierungsministern, hochrangigen Militärs, Richtern und Journalisten gehackt zu haben. Amnesty International deckt zwar die Spionageaktivitäten von Intellexa auf, liefert jedoch keine Hintergrundinformationen über dessen Gründer Tal Dilian, einen ehemaligen hochrangigen Mitarbeiter des israelischen Militärgeheimdienstes, dessen Mitarbeiter ebenfalls erfahrene israelische Spionageveteranen sind.
Im März 2024, nach Jahren schädlicher Enthüllungen über die kriminellen Aktivitäten von Intellexa, verhängte das US-Finanzministerium umfassende Sanktionen gegen Dilian, seine engsten Unternehmensverbündeten und fünf separate kommerzielle Einrichtungen, die mit Intellexa in Verbindung stehen.
Predator: Beobachten, abhören, extrahieren
Doch diese harten Maßnahmen konnten die Aktivitäten von Intellexa nicht eindämmen. Das Dienstleistungsangebot des Unternehmens hat sich im Laufe der Zeit weiterentwickelt, sodass es immer schwieriger zu erkennen und immer effektiver bei der Infizierung von Zielgeräten ist. In der Regel stehen die Zivilgesellschaft, Menschenrechtsaktivisten und Journalisten im Fokus.
Am 3. Dezember gab Google bekannt, dass Intellexa mindestens „mehrere hundert” Ziele hatte, darunter Personen in Angola, Ägypten, Kasachstan, Pakistan, Saudi-Arabien, Tadschikistan, Usbekistan und anderen Ländern.
Als Flaggschiff-Tool von Intellexa infiziert Predator Zielgeräte durch „One-Click“- und „Zero-Click“-Methoden und bettet sich sogar über Online-Anzeigen ein. Einmal installiert, plündert es unbemerkt Fotos, Passwörter, Nachrichten und Chats auf Signal, Telegram und WhatsApp sowie Mikrofonaufnahmen.
Diese gestohlenen Daten werden dann über ein Labyrinth von Anonymisierungsservern an ihre Kunden weitergeleitet. Bei diesen Kunden handelt es sich überwiegend um autoritäre Regierungen, die häufig Aktivisten und Journalisten ins Visier nehmen.
Predator verfügt außerdem über eine Reihe einzigartiger Funktionen, die darauf ausgelegt sind, seine Installation auf einem Gerät vor den Zielpersonen zu verbergen. So überprüft das Spionagetool beispielsweise den Akkustand eines Geräts und ob es über SIM-Kartendaten oder WLAN mit dem Internet verbunden ist. Dies ermöglicht einen maßgeschneiderten Extraktionsprozess, der sicherstellt, dass die Geräte nicht offensichtlich an Netzwerk oder Strom verlieren, um den Verdacht der Benutzer nicht zu wecken.
Aladdins Höhle
Wenn Predator merkt, dass es entdeckt wurde, „zerstört“ sich die Spyware sogar selbst, um keine Spuren ihrer Anwesenheit auf einem betroffenen Gerät zu hinterlassen. Die Methoden, mit denen Intellexa seine bösartige Technologie auf Zielgeräten installiert, sind ebenso genial wie heimtückisch.
Neben „One-Click“-Angriffen ist Intellexa ein Pionier auf dem Gebiet der „Zero-Click“-Infiltration. Seine Ressource „Aladdin“ nutzt Internet-Werbeökosysteme aus, sodass Nutzer nur eine Anzeige ansehen müssen – ohne mit ihr zu interagieren –, damit die Spyware ein Gerät infizieren kann.
Solche Anzeigen können auf vertrauenswürdigen Websites oder in Apps erscheinen und sehen aus wie jede andere Anzeige, die ein Nutzer normalerweise sehen würde. Dieser Ansatz erfordert, dass Intellexa eine „eindeutige Kennung“ wie die E-Mail-Adresse, den geografischen Standort oder die IP-Adresse eines Nutzers ermittelt, um ihm gezielt eine bösartige Anzeige zu liefern.
Die Regierungskunden von Intellexa haben oft leichten Zugang zu diesen Informationen, was eine genaue Zielausrichtung vereinfacht. Eine von Recorded Future, einem US-amerikanischen Cybersicherheitsunternehmen, veröffentlichte Studie zeigt, dass Intellexa heimlich spezielle Mobilwerbeunternehmen gegründet hat, um „Köderanzeigen“ zu erstellen, darunter Stellenanzeigen, um Ziele anzulocken.
Aladdin befindet sich seit mindestens 2022 in der Entwicklung und ist im Laufe der Zeit immer ausgefeilter geworden. Beunruhigend ist, dass Intellexa nicht das einzige Unternehmen ist, das in diesem innovativen Spionagebereich tätig ist. Amnesty International geht davon aus, dass „werbebasierte Infektionsmethoden von mehreren Söldner-Spyware-Unternehmen und von bestimmten Regierungen, die ähnliche ADINT-Infektionssysteme aufgebaut haben, aktiv entwickelt und eingesetzt werden“.
Die Tatsache, dass das digitale Werbeökosystem missbraucht wird, um die Telefone ahnungsloser Bürger zu hacken, erfordert dringende Maßnahmen der Branche, die jedoch bislang ausbleiben.
Ebenso beunruhigend ist ein durchgesickertes Schulungsvideo von Intellexa, das zeigt, wie das Spyware-Unternehmen „aus der Ferne auf aktive Predator-Systeme von Kunden zugreifen und diese überwachen“ kann. Tatsächlich ist es in der Lage, in Echtzeit zu überwachen, wen seine Kunden ausspionieren und welche privaten Daten sie genau extrahieren.
Das Mitte 2023 aufgenommene Video beginnt damit, dass ein Ausbilder über TeamViewer, eine beliebte kommerzielle Fernzugriffssoftware, eine direkte Verbindung zu einem eingesetzten Predator-System herstellt. Der Inhalt des Videos lässt darauf schließen, dass Intellexa mindestens 10 verschiedene Kundensysteme gleichzeitig einsehen kann.
Diese Fähigkeit wird in dem durchgesickerten Video deutlich hervorgehoben, als ein Mitarbeiter seinen Ausbilder fragt, ob sie sich mit einer Testumgebung verbinden. Als Antwort geben sie an, dass stattdessen auf eine Live-„Kundenumgebung“ zugegriffen wird.
Der Ausbilder initiiert dann eine Fernverbindung und zeigt, dass die Mitarbeiter von Intellexa auf hochsensible Informationen zugreifen können, die von Kunden gesammelt wurden, darunter Fotos, Nachrichten, IP-Adressen, Smartphone-Betriebssysteme und Softwareversionen sowie andere Überwachungsdaten, die von Predator-Opfern gesammelt wurden.
Das Video scheint auch „Live“-Infektionsversuche mit Predator gegen reale Ziele von Intellexa-Kunden zu zeigen. Es werden detaillierte Informationen zu mindestens einem Infektionsversuch gegen eine Person in Kasachstan bereitgestellt, darunter der bösartige Link, auf den diese Person unwissentlich geklickt hat und der die Infiltration ihres Geräts ermöglichte.
An anderer Stelle werden Domainnamen angezeigt, die legitime kasachische Nachrichtenwebsites imitieren und dazu dienen, Nutzer zu täuschen. Das zentralasiatische Land, das symbolisch dem Abraham-Abkommen beitreten soll, ist ein bestätigter Kunde von Intellexa, und lokale Jugendaktivisten wurden bereits zuvor von der berüchtigten, ebenfalls in Israel entwickelten Spionagesoftware Pegasus ins Visier genommen.
Hinter den Kulissen: Rechtliche Unklarheiten und Zugriff aus dem Ausland
Das durchgesickerte Video wirft eine Reihe schwerwiegender Bedenken hinsichtlich der Aktivitäten von Intellexa auf. Zum einen nutzte das undurchsichtige Hightech-Unternehmen für digitale Spionage TeamViewer, über das seit langem große Sicherheitsbedenken bestehen, um auf Informationen über Kundenziele zuzugreifen.
Dies wirft offensichtliche Fragen darüber auf, wer sonst noch ohne Wissen des Unternehmens auf diesen Schatz zugreifen könnte. Darüber hinaus gibt es keine Anzeichen dafür, dass die Kunden von Intellexa diesen Zugriff für den Schulungsprozess genehmigt haben oder dass die Schulung unter Einhaltung grundlegender Sicherheitsvorkehrungen durchgeführt wurde.
Somit laufen die Ziele der Spionagetechnologie von Intellexa nicht nur Gefahr, dass ihre sensibelsten Geheimnisse ohne ihr Wissen oder ihre Zustimmung einer feindlichen Regierung preisgegeben werden, sondern auch einer ausländischen Überwachungsfirma.
Inwieweit Intellexa weiß, wie seine Technologie von seinen Kunden genutzt wird, ist ein zentraler Streitpunkt in dem laufenden griechischen Gerichtsverfahren. In der Vergangenheit haben kommerzielle Spyware-Unternehmen stets behauptet, dass sie keine Kenntnis von Daten hätten, die von ihren Kunden auf unrechtmäßige Weise beschafft wurden. Amnesty International erklärt:
„Die Erkenntnis, dass Intellexa potenziell Einblick in aktive Überwachungsoperationen seiner Kunden hatte, einschließlich der Einsicht in technische Informationen über die Ziele, wirft neue rechtliche Fragen hinsichtlich der Rolle von Intellexa in Bezug auf die Spyware und der potenziellen rechtlichen oder strafrechtlichen Verantwortung des Unternehmens für rechtswidrige Überwachungsoperationen auf, die unter Verwendung seiner Produkte durchgeführt wurden.“
Die jüngsten Enthüllungen über Intellexa haben das Zeug zu einem historischen, internationalen Skandal, genau wie der Einsatz von Pegasus durch staatliche und unternehmerische Einrichtungen weltweit internationale Empörung, strafrechtliche Ermittlungen und langjährige Rechtsstreitigkeiten ausgelöst hat.
Die Verbreitung bedrohlicher privater Spionagetools – und ihr Missbrauch im industriellen Maßstab durch zahlende Kunden – ist jedoch kein abwegiger Fehler, sondern ein beabsichtigtes Ergebnis des unerbittlichen Kreuzzugs Israels um die Vorherrschaft in der Cyberkriegsführung. Im Jahr 2018 prahlte der israelische Ministerpräsident Benjamin Netanjahu:
„Cybersicherheit wächst durch Zusammenarbeit, und Cybersicherheit als Geschäftsfeld ist enorm … Wir haben enorme Summen für unseren Militärgeheimdienst, den Mossad und den Shin Bet ausgegeben. Enorme Summen. Ein großer Teil davon wird nun in die Cybersicherheit umgeleitet … Wir glauben, dass die unaufhörliche Suche nach Sicherheit enorme Geschäftsmöglichkeiten bietet.“
Diese Investition zeigt sich in fast allen Bereichen der israelischen Gesellschaft. Zahlreiche Universitäten in Tel Aviv entwickeln mit staatlicher Unterstützung neue Technologien und bilden zukünftige Generationen von Cyberspionen und digitalen Kriegern aus, die dann in die Reihen der Streitkräfte der Besatzungsmacht eintreten.
Nach Beendigung ihres Militärdienstes gründeten ehemalige Soldaten häufig Unternehmen im In- und Ausland, die dieselben monströsen Dienste, die sich im Kampf gegen die Palästinenser bewährt hatten, nun privaten Einrichtungen und Regierungen anboten, ohne dass es eine Aufsicht oder Garantie dafür gab, dass diese Ressourcen nicht für böswillige Zwecke eingesetzt werden würden.
Die Geheimdienstfehler, die den Erfolg der Operation Al-Aqsa Flood am 7. Oktober 2023 ermöglichten, versetzten Israels Glaubwürdigkeit als führendes Land im Bereich Cybersicherheit einen schweren Schlag und zerstörten gleichzeitig sein Image als „Startup-Nation“, wodurch ausländische Investitionen in die Technologiebranche des Landes drastisch zurückgingen.
Der eigentliche Skandal ist nicht nur die Existenz von Unternehmen wie Intellexa. Es ist die internationale Straffreiheit, die sie genießen, die westlichen Partnerschaften, die sie unterhalten, und die Komplizenschaft von Regierungen, die die Augen vor der weltweit exportierten israelischen Cyberkriegsführung verschließen.
