Dieser Artikel stammt von Netzpolitik.org.Der Autor ist…
Ahmed Eltantawy fordert Ägyptens autokratischen Präsidenten Al-Sisi heraus. Nun zeigt sich, dass das Telefon des Präsidentschaftsbewerbers mit einem bekannten Staatstrojaner gehackt wurde. Dahinter steckt vermutlich die ägyptische Regierung, sagen Sicherheitsforscher:innen des Citizen Lab.
Der ägyptische Oppositionspolitiker Ahmed Eltantawy – Alle Rechte vorbehalten Screenshot: Ahmed Eltantawy / YoutubeDer ägyptische Präsidentschaftskandidat Ahmed Eltantawy wurde mit dem Staatstrojaner Predator der Firma Cytrox ausspioniert. Zu diesem Schluss kommen die Sicherheitsforscher:innen des kanadischen Citizen Lab in einer ausführlichen Untersuchung. Der Angriff auf den Oppositionspolitiker sei „mit hoher Wahrscheinlichkeit“ von der autokratischen Regierung Ägyptens ausgegangen, schreibt das Citizen Lab in einem Bericht.
Die IT-Fachleute der Universität Toronto haben Eltantawys Geräte gemeinsam mit Googles Threat Analysis Group (TAG) untersucht und mehrere Infiltrationen mit Spionagesoftware festgestellt. Im Zeitraum von Mai bis September 2023, beginnend kurz nachdem der Oppositionspolitiker seine Präsidentschaftskandidatur angekündigt hatte, erhielt dieser via SMS und WhatsApp mehrere Nachrichten mit Links zum Download des Staatstrojaners. Sie waren getarnt als Sicherheitshinweise von WhatsApp und als Kontaktversuche einer Menschenrechtsorganisation.
Zusätzlich wurde Eltantawys Smartphone auch direkt über das ägyptische Telefonnetzwerk mittels sogenannter Network Injection infiltriert, schreibt das Citizen Lab. Beim Besuch einiger nicht https-geschützter Websites über das mobile Datennetz sei der Oppositionspolitiker heimlich auf eine Seite umgeleitet worden, die den Staatstrojaner installierte. Die Sicherheitsforscher:innen kommen zu dem Schluss, dass hierfür wahrscheinlich eine Manipulation beim Mobilfunkanbieter Vodafone Egypt Voraussetzung war.
Apple hat Sicherheitslücke geschlossen
Predator funktioniert auf Telefonen mit Android- und iOS-Betriebssystemen und sammelt Informationen aus mobilen Geräten und damit verbundenen Cloud-Diensten. Dateien, Fotos, Internetverläufe, Kontakte und Passwörter werden nach einer erfolgreichen Infektion an die Auftraggeber:innen ausgeleitet. Die Infiltration von Eltantawys iPhone erfolgte offenbar unter Ausnutzung mehrerer Zero-Day-Sicherheitslücken des Betriebssystems iOS. Apple hat diese nach Hinweisen der Sicherheitsforscher:innen in einem eiligen Update geschlossen.
Hersteller von Predator ist die von israelischen und ungarischen Staatsangehörigen als Aktiengesellschaft in Nordmazedonien gegründete Firma Cytrox. Inzwischen gehört das Unternehmen laut der Nachrichtenseite Balkaninsight zu einer Gesellschaft in Ungarn, als Eigentümer gilt der 70-jährige Luftwaffenveteran Meir Shamir aus Israel.
Zu den Kunden von Cytrox zählen laut Citizen Lab „notorische Menschenrechtsverletzer weltweit“, darunter sudanesische Milizen und die ägyptische Regierung. Bereits in der Vergangenheit deckten die Sicherheitsforscher:innen auf, dass ägyptische Oppositionelle und Medienschaffende mit Predator überwacht wurden. Auch in Griechenland setzte der Geheimdienst den Trojaner ein, um Oppositionspolitiker zu überwachen, was 2022 zum Rücktritt des Geheimdienstchefs führte.
Infiltration über ägyptisches Vodafone-Netz
Mehrere Gründe machen es laut Citizen Lab „unwahrscheinlich, dass diese Injektion außerhalb des Einflussbereichs der ägyptischen Behörden erfolgte“. Dazu zählt, dass die Injektion innerhalb Ägyptens erfolgte, dass Cytrox seinen Predator-Trojaner an Regierungen verkauft und dass Ägypten bereits als Kunde von Cytrox bekannt ist.
Zur Infiltration von Eltantawys Telefon über das ägyptische Mobilfunknetz schreibt das Citizen Lab:
Letztendlich konnten wir die Injektion auf eine Verbindung zwischen Telecom Egypt und Vodafone Egypt eingrenzen. Anhand der technischen Daten allein können wir nicht feststellen, ob sich die Middlebox auf der Seite der Netzwerkverbindung von Telecom Egypt oder auf der Seite von Vodafone Egypt befindet. Wir vermuten jedoch, dass sie sich innerhalb des Netzes von Vodafone Egypt befindet, da die gezielte Injektion eines einzelnen Vodafone-Teilnehmers eine Integration mit der Vodafone-Teilnehmerdatenbank erfordern würde.
Zum Einsatz kam hier offenbar auch Technik der kanadischen Firma Sandvine. Das schlussfolgern Citizen Lab und Google TAG „mit hoher Wahrscheinlichkeit“. Der in Ägypten eingesetzte Spyware Injector zeige exakt gleiche Muster wie die Sandvine-Technik PacketLogic, mit der Internetnutzer:innen in der Türkei überwacht werden.
Schwierige Lage für Opposition
Ägypten wird seit einem Militärputsch im Jahr 2013 von Feldmarschall Abdel Fatah Al-Sisi regiert, seit 2014 ist dieser auch Präsident des Landes. Zuvor war das Land ein Jahr von der Muslimbruderschaft regiert worden, die die ersten freien Wahlen in Ägypten nach dem sogenannten Arabischen Frühling für sich entschieden hatten und einen islamistischen Umbau des Staates planten. Präsident Al-Sisi regiert das Land autokratisch und genießt dabei die Unterstützung westlicher Staaten wie der USA und Deutschland. Für das Jahr 2024 hat er Präsidentschaftswahlen angekündet.
Im April dieses Jahres gab Ahmed Eltantawy bekannt, dass er bei der Wahl kandieren werde, „um eine zivil-demokratische Alternative anzubieten“. Die ägyptische Nachrichtenwebsite zawia3.com, die sich selbst als unabhängig beschreibt, zeichnet in einem Porträt ein Bild von Eltantawy als lautstarkem Kritiker von Präsident Al-Sisi. Demzufolge war der 44-Jährige bis 2020 Mitglied des ägyptischen Parlaments und zuvor Vorsitzender der linken „Partei der Würde“, Ḥizb al-Karāma.
Laut Nachrichtenagentur Reuters wurden mehrere Freunde und Verwandte Eltantawys verhaftet, nachdem dieser seine Kandidatur bekanntgab.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Ingo Dachwitz
