Das Digital Security Lab (DSL) von Reporter ohne Grenzen (RSF) hat gemeinsam mit der osteuropäischen Organisation RESIDENT.NGO eine bislang unbekannte Spionagesoftware entdeckt, die vom belarussischen Geheimdienst KGB unter anderem gezielt gegen Medienschaffende eingesetzt wurde. Nach Einschätzungen von RSF stellt die Enttarnung einen schweren Schlag für die Arbeit des KGB dar – auch weil die Software offenbar bereits seit mehreren Jahren im Einsatz ist.
Die als ResidentBat getaufte Spionagesoftware richtet sich gegen Android-Smartphones und ermöglicht einen Zugriff auf hochsensible Daten. Anders als bekannte, auch gegen Journalist*innen eingesetzte Spyware-Produkte wie Pegasus nutzt ResidentBat keine Sicherheitslücken aus, sondern wird installiert, nachdem Geheimdienstbeamte physischen Zugriff auf das Gerät haben. Nach der Installation erlaubt ResidentBat unter anderem Zugriff auf Anrufprotokolle, Mikrofonaufnahmen, Bildschirmaufzeichnungen, SMS, Nachrichten aus verschlüsselten Messengerdiensten sowie lokal abgespeicherte Dateien.
«Die umfangreichen Funktionen von ResidentBat zeigen erneut, dass Spionagesoftware schwer mit Menschenrechten in Einklang zu bringen ist. Daher setzt sich Reporter ohne Grenzen für ein internationales Verbot solcher invasiver Technologien ein,» sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen Deutschland. «Der Fund zeigt auch, dass die belarussische Regierung vor keinem Mittel zurückschreckt, um ihre Kritiker*innen mundtot zu machen. 33 Medienschaffende sitzen im Gefängnis, Hunderte mussten das Land verlassen – und diejenigen Journalistinnen und Journalisten sowie Oppositionelle, die bleiben, werden seit Jahren systematisch ausspioniert.»
«Der Fall zeigt, wie massiv in die Privatsphäre von Medienschaffenden eingegriffen werden kann – selbst ohne das Ausnutzen von Sicherheitslücken», sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab. «Erst durch forensische Analysen wie die, die das DSL anbietet, können Journalistinnen und Journalisten Überwachungsmassnahmen beweisen und die Angreifer öffentlich zur Verantwortung ziehen.»
Spyware gibt sich als reguläre App aus
Entdeckt wurde die ResidentBat auf einem Smartphone einer journalistisch tätigen Person, die vom belarusischen Geheimdienst KGB befragt worden war. RSF hat die Identität der betroffenen Person verifiziert, veröffentlicht sie (inklusive Geschlecht) jedoch aus Sicherheitsgründen nicht.
Vor dem Verhör in den Räumen des KGB wurde die Person aufgefordert, ihr Smartphone in einem Schliessfach zu deponieren. Während der Befragung musste die Person einem KGB-Beamten Inhalte auf dem Gerät zeigen und entsperrte das Smartphone in dessen Anwesenheit. Danach wurde das Gerät erneut im Schliessfach abgelegt. Die betroffene Person und das DSL gehen davon aus, dass die Sicherheitskräfte die Eingabe der PIN beobachteten, das Smartphone noch während des Verhörs aus dem Schliessfach holten und die Spyware installierten.
Nachdem wenige Tage später eine Antiviren-Software auf dem Gerät verdächtige Komponenten meldete, wandte sich die betroffene Person an RESIDENT.NGO, die gemeinsam mit dem DSL eine forensische Analyse durchführte.
Spionagesoftware jahrelang im Einsatz
Das DSL konnte darüber hinaus weitere Varianten von ResidentBat durch einen Vergleich auf einer Antiviren-Plattform identifizieren, die mutmasslich vom selben Akteur eingesetzt wurden. Eine der analysierten Versionen stammt aus dem Jahr 2021. RSF geht daher davon aus, dass der belarussische Geheimdienst die Spyware seit mindestens vier Jahren nutzt.
Das DSL hat die Ergebnisse seiner Analyse mit Google geteilt. Google wird, um mit dieser Spyware angegriffene Android-Nutzende weiter zu unterstützen, sogenannte «government-backed attack»-Bedrohungs-Benachrichtigungen an Android-Nutzende senden, die von Google als Ziele der Spyware identifiziert wurden.
Unklar ist bislang, wer ResidentBat entwickelt hat. In Teilen der Software finden sich englischsprachige Zeichenketten, was darauf hindeutet, dass es sich um ein Produkt handeln könnte, das nicht ausschliesslich für den Einsatz in Belarus ausgearbeitet wurde bzw. von einer Drittpartei stammt.
Pressefreiheit in Belarus
Unabhängiger Journalismus wird in Belarus massiv unterdrückt. Medienschaffende sind Zensur, Einschüchterung, Gewalt und willkürlichen Festnahmen ausgesetzt. Aktuell befinden sich 33 Journalistinnen und Journalisten in Haft, Berichte von Folter häufen sich. Viele sind seit 2020 aus dem Land geflohen und arbeiten aus dem Exil. Diejenigen, die weiterhin aus Belarus berichten, tun dies meist anonym und unter hohem persönlichen Risiko. Der Einsatz von Spionagesoftware ist Teil dieser systematischen Repression. In der aktuellen Rangliste der Pressefreiheit belegt Belarus Platz 166.