SpähsoftwareEU-Kommission offenbar Ziel von Staatstrojanern

Die Geräte von EU-Justizkommissar Didier Reynders und vier weiteren Kommissionsbeamten waren offenbar Ziel von Spähsoftware. Doch wer steckt hinter der Aktion?

Didier Reynders mit Handy
Ausspioniert? EU-Justizkommissar Didier Reynders – Alle Rechte vorbehalten European Union/Bearbeitung netzpolitik.org

Führende Figuren der Europäischen Kommission standen offenbar im Visier einer Spionageaktion. Bei Justizkommissar Didier Reynders und vier Kommissionsmitarbeiter:innen sollen Anzeichen gefunden worden sein, dass ihre Geräte mit Staatstrojanern angegriffen wurden. Einen entsprechenden Bericht der Nachrichtenagentur Reuters, der sich auf EU-Quellen und E-Mails beruft, bestätigte die EU-Kommission am Montag nicht. Ein Sprecher betonte lediglich, dass es ausreichende Sicherheitsmaßnahmen für Geräte von Kommissionsangehörigen gebe.

Für europaweites Entsetzen sorgten im Vorjahr globale Enthüllungen über den Einsatz des Staatstrojaners Pegasus des israelischen Herstellers NSO Group. Damals wurde bekannt, dass die ungarische Regierung Pegasus gegen Oppositionelle und Journalist:innen eingesetzt hatte. Kommissionschefin Ursula von der Leyen bezeichnete dies als „komplett inakzeptabel“. Später gestand auch die polnische Regierung den Kauf von Pegasus ein. Die Spähsoftware war zuvor auf den Geräten von Oppositionspolitikern gefunden worden, einen Einsatz zu politischen Zwecken bestritt Polens Vize-Ministerpräsident Jarosław Kaczyński jedoch.

EU-Parlament setzt Pegasus-U-Ausschuss ein

Als wenige Wochen später Hinweise auf die Verwendung des Staatstrojaners gegen französische Kabinettsmitglieder auftauchten, fragte netzpolitik.org die EU-Kommission, ob diese ihre Geräte auf Zugriff durch Pegasus geprüft habe. Damals sagte ein Kommissionssprecher, die Geräte des Personals seien grundsätzlich ausreichend gesichert, auf die konkrete Frage gebe es keinen Kommentar. Während die USA als Reaktion auf die Enthüllungen NSO Group auf eine Liste für Handelsbeschränkungen setzten, blieben ähnliche Schritte durch die EU und Deutschland aus.

Die juristische Aufarbeitung des Pegasus-Einsatzes in Ungarn geriet zuletzt ins Stocken. Die ungarische Datenschutzbehörde erklärte, der Einsatz des Staatstrojaners sei rechtens gewesen – dafür gab es erhebliche Kritik von Amnesty International und anderen Menschenrechtsorganisationen. Das EU-Parlament hat wegen der Pegasus-Affäre einen Untersuchungsausschuss eingesetzt, der im Sommer die Arbeit aufnehmen soll.

Wer hinter der Spionageaktion gegen die EU-Kommission steckt, bleibt zunächst unklar. Reuters meldete, die EU-Kommission sei im November durch Warnungen von Apple auf eine mögliche Attacke aufmerksam geworden. Das Technologieunternehmen hatte damals angekündigt, alle Nutzenden zu informieren, bei denen Anzeichen eines Infektionsversuches mit Staatstrojanern zu erkennen sind. Ob die Geräte tatsächlich infiziert wurden, ist nicht bekannt.

Die Sicherheitslücke „ForcedEntry“, die für die mutmaßliche Attacke auf die EU-Kommission genutzt wurde, werde demnach sowohl von Pegasus als auch von ähnlicher Software der israelischen Firma QuaDream genutzt. Während NSO Group gegenüber Reuters sagte, ein solches Targeting sei mit seinen Werkzeugen nicht möglich gewesen, äußerte sich QuaDream gegenüber der Nachrichtenagentur nicht.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

3 Ergänzungen

  1. >> JBIG2 doesn’t have scripting capabilities, but when combined with a vulnerability, it does have the ability to emulate circuits of arbitrary logic gates operating on arbitrary memory. So why not just use that to build your own computer architecture and script that!? That’s exactly what this exploit does. Using over 70,000 segment commands defining logical bit operations, they define a small computer architecture with features such as registers and a full 64-bit adder and comparator which they use to search memory and perform arithmetic operations. It’s not as fast as Javascript, but it’s fundamentally computationally equivalent.

    The bootstrapping operations for the sandbox escape exploit are written to run on this logic circuit and the whole thing runs in this weird, emulated environment created out of a single decompression pass through a JBIG2 stream. It’s pretty incredible, and at the same time, pretty terrifying. <<

    https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html

    Das dies möglich ist, darauf hat Apple seine Kunden hingewiesen. Dass da EU-Kommissionsbeamte darunter sind verwundert kaum, wenngleich doch, dass diese solche Mitteilungen lesen. Juristen lesen alles, auch wenn sie es nicht verstehen. Das wiederum unterscheidet sie kaum von Journalisten.

  2. jbigkit is required by tiff which is still required by hundreds of software libraries (openjpeg, poppler, etc) and packages.

    Due to this dependency of dependencies JBIG library lands on systems using i.e Asterisk if default build options were used.

    The last security upgrade is 8 years old:

    JBIG-KIT revision history
    ————————-
    Changes in version 2.1 (2014-04-08)

    This is a security-critical bug-fix release that remains API and ABI
    backwards compatible to version 2.0. Users who process BIE data from
    untrusted sources should upgrade.

    – fixed a buffer-overflow vulnerability in the jbig.c decoder,
    reported by Florian Weimer (Red Hat): CVE-2013-6369
    – fixed ability of corrupted input data to force jbig85.c decoder
    into an end-less loop
    – fixed a bug in the processing of private deterministic-prediction
    tables (DPPRIV=1) in jbig.c decoder
    – fixed integer-type mismatches in printf arguments on 64-bit systems

    This is a beautiful example of an open source project that is obviously mo more properly maintained, but still deployed widely.

    2013 was the year of the Snowden-Event triggering software audits in the months thereafter. This kind of searching for vulberabilities slowed down since then significantly except for those who were making a living out of it. Instead of writing CVEs they sell it to the most bidding criminals or state agencies.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.