Das Digital Security Lab (DSL) von Reporter ohne Grenzen (RSF) hat gemeinsam mit der osteuropäischen Organisation RESIDENT.NGO eine bislang unbekannte Spionagesoftware entdeckt, die vom belarusischen Geheimdienst KGB unter anderem gezielt gegen Medienschaffende eingesetzt wurde. Nach Einschätzungen von RSF stellt die Enttarnung einen schweren Schlag für die Arbeit des KGB dar – auch weil die Software offenbar bereits seit mehreren Jahren im Einsatz ist.
Die als ResidentBat getaufte Spionagesoftware richtet sich gegen Android-Smartphones und ermöglicht einen Zugriff auf hochsensible Daten. Anders als bekannte, auch gegen Journalist*innen eingesetzte Spyware-Produkte wie Pegasus nutzt ResidentBat keine Sicherheitslücken aus, sondern wird installiert, nachdem Geheimdienstbeamte physischen Zugriff auf das Gerät haben. Nach der Installation erlaubt ResidentBat unter anderem Zugriff auf Anrufprotokolle, Mikrofonaufnahmen, Bildschirmaufzeichnungen, SMS, Nachrichten aus verschlüsselten Messengerdiensten sowie lokal abgespeicherte Dateien.
„Die umfangreichen Funktionen von ResidentBat zeigen erneut, dass Spionagesoftware schwer mit Menschenrechten in Einklang zu bringen ist. Daher setzt sich Reporter ohne Grenzen für ein internationales Verbot solcher invasiver Technologien ein,“ sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen. „Der Fund zeigt auch, dass die belarusische Regierung vor keinem Mittel zurückschreckt, um ihre Kritiker*innen mundtot zu machen. 33 Journalist*innen sitzen im Gefängnis, Hunderte mussten das Land verlassen – und diejenigen Journalist*innen und Oppositionellen, die bleiben, werden seit Jahren systematisch ausspioniert.“
„Der Fall zeigt, wie massiv in die Privatsphäre von Journalist*innen eingegriffen werden kann – selbst ohne das Ausnutzen von Sicherheitslücken“, sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab. “Erst durch forensische Analysen wie die, die das DSL anbietet, können Journalist*innen Überwachungsmaßnahmen beweisen und die Angreifer öffentlich zur Verantwortung ziehen.”
Spyware gibt sich als reguläre App aus
Entdeckt wurde die ResidentBat auf einem Smartphone eine*r Journalist*in, die vom belarusischen Geheimdienst KGB befragt worden war. RSF hat die Identität der betroffenen Person verifiziert, veröffentlicht sie (inklusive Geschlecht) jedoch aus Sicherheitsgründen nicht.
Vor dem Verhör in den Räumen des KGB wurde die Person aufgefordert, ihr Smartphone in einem Schließfach zu deponieren. Während der Befragung musste der*die Journalist*in einem KGB-Beamten Inhalte auf dem Gerät zeigen und entsperrte das Smartphone in dessen Anwesenheit. Danach wurde das Gerät erneut im Schließfach abgelegt. Die betroffene Person und das DSL gehen davon aus, dass die Sicherheitskräfte die Eingabe der PIN beobachteten, das Smartphone noch während des Verhörs aus dem Schließfach holten und die Spyware installierten.
Nachdem wenige Tage später eine Antiviren-Software auf dem Gerät verdächtige Komponenten meldete, wandte sich die betroffene Person an RESIDENT.NGO, die gemeinsam mit dem DSL eine forensische Analyse durchführte.
Spionagesoftware jahrelang im Einsatz
Das DSL konnte darüber hinaus weitere Varianten von ResidentBat durch einen Vergleich auf einer Antiviren-Plattform identifizieren, die mutmaßlich vom selben Akteur eingesetzt wurden. Eine der analysierten Versionen stammt aus dem Jahr 2021. RSF geht daher davon aus, dass der belarusische Geheimdienst die Spyware seit mindestens vier Jahren nutzt.
Das DSL hat die Ergebnisse seiner Analyse mit Google geteilt. Google wird, um mit dieser Spyware angegriffene Android-Nutzende weiter zu unterstützen, sogenannte "government-backed attack"-Bedrohung-Benachrichtigungen an Android-Nutzende senden, die von Google als Ziele der Spyware identifiziert wurden.
Unklar ist bislang, wer ResidentBat entwickelt hat. In Teilen der Software finden sich englischsprachige Zeichenketten, was darauf hindeutet, dass es sich um ein Produkt handeln könnte, das nicht ausschließlich für den Einsatz in Belarus ausgearbeitet wurde bzw. von einer Drittpartei stammt.
Pressefreiheit in Belarus
Unabhängiger Journalismus wird in Belarus massiv unterdrückt. Medienschaffende sind Zensur, Einschüchterung, Gewalt und willkürlichen Festnahmen ausgesetzt. Aktuell befinden sich 33 Journalist*innen in Haft, Berichte von Folter häufen sich. Viele sind seit 2020 aus dem Land geflohen und arbeiten aus dem Exil. Diejenigen, die weiterhin aus Belarus berichten, tun dies meist anonym und unter hohem persönlichen Risiko. Der Einsatz von Spionagesoftware ist Teil dieser systematischen Repression. In der aktuellen Rangliste der Pressefreiheit belegt Belarus Platz 166.
Mehr Informationen
Der komplette Bericht ist hier in englischer Sprache verfügbar:
ResidentBat: A new spyware family used by Belarussian KGB
Hinweise zum Schutz vor digitalen Angriffen gibt es hier. Journalist*innen, die den Verdacht haben, Opfer ähnlicher Überwachung geworden zu sein, können sich an das Digital Security Lab wenden.