Vermischtes
KNA – Lotte Laloire

Wie der belarussische Geheimdienst Journalisten ausspioniert

Dass Belarus die Pressefreiheit brutal unterdrückt, ist bekannt. Nun wurde Spionage-Software auf dem Gerät eines Medienschaffenden gefunden, deren Herkunft sich eindeutig belegen lässt. Und es gibt Hinweise auf weitere Fälle.

Berlin (KNA) – Für den Geheimdienst von Belarus ist es eine peinliche Enthüllung: Experten haben auf dem Smartphone eines belarussischen Journalisten bislang unbekannte Spionage-Software gefunden. Diese wurde während eines Verhörs in den Räumen der Behörde auf das Gerät gespielt. Gelungen ist die Enttarnung dem Digital Security Lab (DSL), der Abteilung für IT-Sicherheit von Reporter ohne Grenzen (RSF), gemeinsam mit der osteuropäischen Organisation Resident.NGO.


„Die App, die wir gefunden haben, haben wir ResidentBat getauft. Sie wird zum Ausspähen von Android-Geräten genutzt und erlaubt Zugriff auf hochsensible Daten“, erklärt DSL-Mitarbeiter Janik Besendorf. Mithilfe der Software konnte der Geheimdienst etwa Anrufprotokolle, Mikrofonaufnahmen, Bildschirmaufzeichnungen, SMS, Nachrichten aus verschlüsselten Messengerdiensten sowie lokal abgespeicherte Dateien abgreifen.


Den Namen für die Spyware haben die Experten gewählt, weil ein Dienst der App „ResidentService“ heißt und bei anderen „Bat“ im Namen vorkommt. Anders als Spionage-Programme wie Pegasus, die aus der Ferne unter Ausnutzung von Sicherheitslücken auf Geräte gespielt werden, wurde ResidentBat installiert, als sich das Gerät in den Händen von Mitarbeitenden des Geheimdienstes KGB (Kurzform für: Komitee für Staatssicherheit der Republik Belarus) befand.


Antiviren-Software schlägt Alarm
Die betroffene Person, über die Reporter ohne Grenzen aus Sicherheitsgründen keine Details offenbart, hatte sich für ein Verhör in die Räume des KGB begeben müssen. Dort sei sie aufgefordert worden, ihr Smartphone zu entsperren und Inhalte auf dem Gerät zu zeigen. Anschließend sollte sie das Gerät in einem Schließfach deponieren. „Die Geheimdienstmitarbeiter haben die Eingabe der PIN beobachtet, müssen das Smartphone dann aus dem Schließfach genommen und die Spyware installiert haben“, erklärt Besendorf. „Wir konnten nachweisen, dass die Software in diesem Moment aufgespielt wurde“, so der IT-Sicherheitsexperte. Dies gehe aus den Logs auf dem Smartphone hervor.


Wenige Tage später meldete eine Antiviren-Software verdächtige Komponenten auf dem Gerät. Die Person wandte sich an die Organisation Resident.NGO, die gemeinsam mit dem DSL eine forensische Analyse durchführte. Es ist allerdings möglich, dass Daten so lange vom Gerät abgeflossen sind, bis das DSL-Team die App entdeckt und gelöscht hat. Welche Daten der Geheimdienst bis dahin abgegriffen hat, sei nicht nachvollziehbar, der Datenabfluss sei nicht gespeichert worden, so das DSL-Team.


Kritiker mundtot machen
Klar ist: Auf dem Gerät waren zwei Versionen der Spyware installiert. Eine habe ein Antivirenprogramm erkannt, woraufhin der Journalist die App gelöscht habe. „Die zweite Version der App haben wir erkannt und deinstalliert“, so Sicherheitsexperte Besendorf. „Wir haben auf VirusTotal noch weitere Versionen der App gefunden. Auch diese sind zum Großteil aus Belarus hochgeladen worden.“ Der früheste Upload habe im April 2021 stattgefunden. Einer der Server, über den die App betrieben wurde, sei ab März 2021 aktiv gewesen. „Wir vermuten, dass Belarus die Spyware seit Anfang 2021 eingesetzt hat“, so der IT-Experte. Weitere technische Details hat die NGO in einem englischsprachigen Bericht auf ihrer Website veröffentlicht.


Für RSF zeigt der Fund, dass die belarussische Regierung vor keinem Mittel zurückschreckt, um Kritiker mundtot zu machen. Allein 32 Journalisten sitzen in Belarus derzeit im Gefängnis. Die Haftbedingungen sind brutal, Gefangene werden gefoltert, ausgehungert, unter Druck gesetzt, Kontakt zu Anwälten und Familie wird ihnen vielfach verweigert. Laut der Rangliste der Pressefreiheit von Reporter ohne Grenzen belegt Belarus derzeit Platz 166 von 180.


Spannend ist die Frage, wie viele Ressourcen die Lukaschenko-Regierung für digitale Angriffe zur Verfügung stehen. Resident.NGO hatte zuletzt auch Phishing-Attacken gegen belarussische Aktivisten im Exil enttarnt. Fachleute gehen davon aus, dass Präsident Alexander Lukaschenko Unterstützung aus Russland erhält. Dass die Geheimdienste der beiden autoritären Staaten kooperieren, gilt als sicher.


Systematischer Einsatz
Den systematischen Einsatz digitaler Überwachungsmethoden durch die Lukaschenko-Regierung bestätigt auch die belarussische Anwältin Maryia Kolesova-Hudzilina auf Anfrage des KNA-Mediendienstes. Sie verteidigt Medienschaffende und weiß aus Akten, Anklageschriften und Urteilen, dass die unrechtmäßig gewonnenen Informationen für die Verfolgung von Medienschaffenden und Zivilgesellschaft genutzt werden. Vorgeworfen werden ihnen zum Beispiel „Extremismus“, „Mitgliedschaft in einer verbotenen Vereinigung“ oder „Störung der öffentlichen Ordnung“.


„In mehreren Strafverfahren gegen belarussische Medienschaffende stützten sich Anklagen seit August 2020 regelmäßig auf Telegram-Nachrichten und Chats, die vor der Verhaftung gelöscht worden waren, interne Metadaten wie etwa Zeitstempel oder Chat-Strukturen, Kommunikation mit Quellen, die zum Zeitpunkt der Beschlagnahme nicht lokal auf Geräten gespeichert waren“, erklärt die Juristin. „Technisch können diese nur durch einen Zugriff auf das Backend, physische Extraktion vom Gerät oder Abfangen von Kommunikation gewonnen werden“, sagt sie.


Eines dieser Strafverfahren richtete sich zum Beispiel gegen die Journalistin Katsiaryna Andreeva Bakhvalova. Sie hatte 2020 live von dem Ort gestreamt, an dem während Protesten im Anschluss an die belarussischen Präsidentschaftswahlen der Künstler Raman Bandarenka zu Tode geprügelt wurde. Kurz darauf wurde die Journalistin in Minsk festgenommen. Im Strafverfahren gegen sie stützten sich die Behörden auf lokale Daten von ihren Geräten, Kommunikationsdaten sowie Online-Aktivitäten. „Der Umfang der digitalen Beweise geht weit über öffentlich verfügbare Daten hinaus“, sagt Kolesova-Hudzilina. Das bedeutet, dass die Behörden Bakhvalovas Geräte aktiv ausspioniert haben müssen.


Google reagiert
Kolesova-Hudzilina fordert anlässlich des neuesten Funds konkrete Maßnahmen seitens der EU, um den Menschenrechtsverletzungen Einhalt zu gebieten. „Die EU-Staaten müssen Mechanismen in Gang setzen, die zur tatsächlichen Freilassung von Inhaftierten führen: verhandelte humanitäre Freilassungen, bedingte und reversible Anreize, garantierten Schutz und Evakuierung für die Freigelassenen“, so Kolesova-Hudzilina. „Menschenleben müssen Vorrang vor politischer Symbolik haben.“


Eine Folge hatte die Enttarnung der Spionagesoftware durch Reporter ohne Grenzen bereits: Google hat reagiert. Wie der KNA-Mediendienst erfuhr, haben IT-Mitarbeiter weitere Android-Nutzer identifizieren können, die mit derselben Software angegriffen worden seien. Google wolle Betroffene benachrichtigen, heißt es. Wer fürchtet, überwacht zu werden, kann sich zudem an das Digital Security Lab von RSF wenden, wo Geräte auf Überwachungssoftware überprüft werden können.

 

 

Sie möchten aktuelle Medien-News, Storys und Praxistipps lesen – und sich über Jobs, Top-Personalien und Journalistenpreise aus Deutschland informieren? Dann abonnieren Sie jetzt unseren kostenlosen Newsletter.

Sie haben Personalien in eigener Sache oder aus Ihrem Medienhaus? Oder ist Ihnen in unseren Texten etwas aufgefallen, zu dem Sie sich mit uns austauschen möchten? Dann senden Sie Ihre Hinweise bitte an georg.taitl@oberauer.com.