Durchgesickerte Schulungsvideos und neue Beweise entlarven Intellexa als mehr als nur ein unseriöses Überwachungsunternehmen. Die israelische Firma ist eine tragende Säule der globalen Cyberkriegsinfrastruktur Tel Avivs und infiltriert weltweit Mobiltelefone durch „Zero-Click“-Methoden, werbebasierte Infektionen und verdeckte Partnerschaften mit autoritären Regierungen.
Neue Recherchen von Amnesty International enthüllen die Machenschaften von Intellexa, einem mit Israel verbundenen Spyware-Konsortium, das für Massenüberwachung und Menschenrechtsverletzungen auf mehreren Kontinenten verantwortlich ist. Dazu gehört „Predator“, ein hochgradig invasives Tool, das Smartphones kapert, um alles von Kamerabildern über verschlüsselte Chats und GPS-Standorte bis hin zu E-Mails abzugreifen. Dies ist nur das jüngste Beispiel dafür, wie ein mit Israel verbundener Spyware-Spezialist ohne Rücksicht auf geltendes Recht agiert. Der Bericht von Amnesty konzentrierte sich jedoch nicht auf diesen Aspekt, sondern beschränkte sich auf die technischen Details, wodurch das volle Ausmaß der Rechtsverstöße weitgehend im Dunkeln blieb. Intellexa zählt zu den weltweit berüchtigtsten Anbietern von „ Söldner-Spionagesoftware “. 2023 wurde das Unternehmen von der griechischen Datenschutzbehörde wegen Nichteinhaltung der Ermittlungsauflagen mit einer Geldstrafe belegt .
Ein laufendes Gerichtsverfahren in Athen belastet Intellexa-Mitarbeiter und lokale Geheimdienste im Zusammenhang mit dem Hacken von Telefonen von Regierungsmitgliedern, hochrangigen Militärs, Richtern und Journalisten. Amnesty International deckt zwar Intellexas Spionageaktivitäten auf, liefert aber keine Hintergrundinformationen zu deren Gründer Tal Dilian, einem ehemaligen hochrangigen israelischen Militärgeheimdienstmitarbeiter, und dessen Belegschaft, die ebenfalls aus israelischen Spionageveteranen besteht.
Im März 2024 , nach jahrelangen, schädlichen Enthüllungen über die kriminellen Aktivitäten von Intellexa, verhängte das US-Finanzministerium weitreichende Sanktionen gegen Dilian, seine engsten Firmenpartner und fünf weitere mit Intellexa verbundene Unternehmen.
Predator: Beobachten, Zuhören, Extrahieren
Doch diese harten Maßnahmen konnten Intellexa nicht von seinen Aktivitäten abhalten. Das Dienstleistungsangebot des Unternehmens hat sich im Laufe der Zeit weiterentwickelt und ist immer schwerer zu entdecken und immer effektiver beim Infizieren von Zielgeräten geworden. Typischerweise geraten dabei Zivilgesellschaft, Menschenrechtsaktivisten und Journalisten ins Visier.
Am 3. Dezember gab Google bekannt, dass Intellexa mindestens „mehrere Hundert“ Personen ins Visier genommen hatte, darunter potenziell auch Einzelpersonen in Angola, Ägypten, Kasachstan, Pakistan, Saudi-Arabien, Tadschikistan, Usbekistan und anderen Ländern.
Als Flaggschiff-Tool von Intellexa infiziert Predator Zielgeräte mit nur einem Klick oder sogar ohne Klick und nistet sich sogar über Online-Werbung ein. Nach der Installation stiehlt es unbemerkt Fotos, Passwörter, Nachrichten und Chats auf Signal, Telegram und WhatsApp sowie Mikrofonaufnahmen.
Diese gestohlenen Daten werden dann über ein Labyrinth von Anonymisierungsservern an die Abnehmer weitergeleitet. Bei diesen Abnehmern handelt es sich überwiegend um autoritäre Regierungen, die häufig Aktivisten und Journalisten ins Visier nehmen.
Predator verfügt zudem über eine Reihe einzigartiger Funktionen, die die Installation auf einem Gerät vor den Zielpersonen verschleiern sollen. Beispielsweise prüft das Spionagetool den Akkustand des Geräts und ob es über SIM-Kartendaten oder WLAN mit dem Internet verbunden ist. Dies ermöglicht einen maßgeschneiderten Extraktionsprozess, bei dem die Geräte nicht offensichtlich vom Netzwerk oder Strom getrennt werden, um keinen Verdacht beim Nutzer zu erregen.
Aladdins Höhle
Wenn Predator erkennt, dass es entdeckt wurde, „zerstört“ sich die Spyware sogar selbst, um keine Spuren auf dem betroffenen Gerät zu hinterlassen. Die Methoden, mit denen Intellexa seine Schadsoftware auf Zielgeräten installiert, sind ebenso raffiniert und heimtückisch.
Neben „Ein-Klick“-Angriffen ist Intellexa ein Pionier auf dem Gebiet der „Zero-Click“-Infiltration. Die Software „Aladdin“ nutzt Internet-Werbeökosysteme aus, sodass Nutzer lediglich eine Anzeige ansehen müssen – ohne mit ihr zu interagieren –, damit Spyware ihr Gerät infiziert.
Solche Anzeigen können auf vertrauenswürdigen Websites oder Apps erscheinen und sehen aus wie jede andere Werbung, die ein Nutzer normalerweise sieht. Um Nutzern gezielt schädliche Werbung anzuzeigen, muss Intellexa hierfür eine eindeutige Kennung ermitteln, beispielsweise die E-Mail-Adresse, den geografischen Standort oder die IP-Adresse.
Intellexas Regierungskunden haben oft problemlos Zugriff auf diese Informationen, was ein präzises Targeting vereinfacht. Untersuchungen des US-amerikanischen Cybersicherheitsunternehmens Recorded Future deuten darauf hin, dass Intellexa verdeckt spezialisierte mobile Werbefirmen gegründet hat, um mit sogenannten „Köderanzeigen“, darunter Stellenanzeigen, potenzielle Kunden anzulocken.
Aladdin wird mindestens seit 2022 entwickelt und ist im Laufe der Zeit immer ausgefeilter geworden. Beunruhigenderweise ist Intellexa nicht das einzige Unternehmen, das in diesem innovativen Bereich der Spionage aktiv ist. Amnesty International weist darauf hin, dass „werbebasierte Infektionsmethoden aktiv von mehreren skrupellosen Spyware-Unternehmen sowie von bestimmten Regierungen entwickelt und eingesetzt werden, die ähnliche ADINT-Infektionssysteme aufgebaut haben.“
Dass das Ökosystem der digitalen Werbung missbraucht wurde, um die Telefone ahnungsloser Bürger zu hacken, erfordert dringendes Handeln der Branche, das bisher jedoch ausbleibt.
Genauso beunruhigend ist ein durchgesickertes Schulungsvideo von Intellexa, das zeigt, wie das Spyware-Unternehmen „aus der Ferne auf aktive Predator-Systeme von Kunden zugreifen und diese überwachen“ kann. Im Grunde kann es in Echtzeit beobachten, wen seine Kunden ausspionieren und welche genauen privaten Daten sie extrahieren.
Das Mitte 2023 aufgenommene Video beginnt damit, dass sich ein Ausbilder über TeamViewer , eine gängige kommerzielle Fernwartungssoftware, direkt mit einem im Einsatz befindlichen Predator-System verbindet. Der Inhalt lässt vermuten, dass Intellexa mindestens zehn verschiedene Kundensysteme gleichzeitig überwachen kann.
Diese Funktion wird in dem durchgesickerten Video deutlich, als ein Mitarbeiter seinen Trainer fragt, ob er sich mit einer Testumgebung verbindet. Daraufhin wird ihm mitgeteilt, dass stattdessen auf eine Live-Kundenumgebung zugegriffen wird.
Anschließend stellt der Ausbilder eine Fernverbindung her und demonstriert, dass Mitarbeiter von Intellexa auf hochsensible, von Kunden gesammelte Informationen zugreifen können, darunter Fotos, Nachrichten, IP-Adressen, Betriebssysteme und Softwareversionen von Smartphones sowie andere Überwachungsdaten, die von Opfern von Predator gesammelt wurden.
Das Video zeigt offenbar auch „Live“-Infektionsversuche mit Predator gegen reale Ziele von Intellexa-Kunden. Detaillierte Informationen zu mindestens einem Infektionsversuch gegen eine Person in Kasachstan werden bereitgestellt, einschließlich des schädlichen Links, den diese Person unwissentlich anklickte und der so die Infiltration ihres Geräts ermöglichte.
Andernorts werden Domainnamen angezeigt, die legitime kasachische Nachrichtenwebseiten imitieren und Nutzer täuschen sollen. Das zentralasiatische Land, das symbolisch den Abraham-Abkommen beitreten wird , ist ein bestätigter Kunde von Intellexa , und lokale Jugendaktivisten wurden bereits zuvor von der berüchtigten, ebenfalls in Israel entwickelten Spyware Pegasus ins Visier genommen .
Hinter den Kulissen: Rechtliche Unklarheiten und ausländischer Zugang
Das durchgesickerte Video wirft eine Reihe schwerwiegender Bedenken hinsichtlich der Geschäftspraktiken von Intellexa auf. So nutzte das undurchsichtige, technologisch hoch entwickelte Unternehmen für digitale Spionage TeamViewer, über das seit Langem erhebliche Sicherheitsbedenken bestehen, um an Informationen über Kunden zu gelangen.
Dies wirft natürlich die Frage auf, wer sonst noch ohne Wissen des Unternehmens auf diese Daten zugreifen könnte. Darüber hinaus gibt es keinerlei Anzeichen dafür, dass die Kunden von Intellexa diesem Zugriff für den Schulungsprozess zugestimmt haben oder dass das Tutorial auch nur mit grundlegenden Sicherheitsvorkehrungen durchgeführt wurde.
Somit besteht für die Zielpersonen der Spionage-Tools von Intellexa nicht nur die Gefahr, dass ihre sensibelsten Geheimnisse ohne ihr Wissen oder ihre Zustimmung einer feindlichen Regierung offenbart werden, sondern im Zuge dessen auch noch einem ausländischen Überwachungsunternehmen.
Inwieweit Intellexa Kenntnis davon hat, wie ihre Technologie von ihren Kunden genutzt wird, ist ein zentraler Streitpunkt im laufenden griechischen Gerichtsverfahren. Traditionell betonen Unternehmen, die auf Spionagesoftware setzen, vehement, keinen Zugriff auf Daten zu haben, die ihre Kunden widerrechtlich erlangt haben. Amnesty International erklärt:
„Die Feststellung, dass Intellexa potenziell Einblick in aktive Überwachungsoperationen ihrer Kunden hatte, einschließlich der Einsicht in technische Informationen über die Zielobjekte, wirft neue rechtliche Fragen hinsichtlich der Rolle von Intellexa im Zusammenhang mit der Spyware und der potenziellen rechtlichen oder strafrechtlichen Verantwortung des Unternehmens für unrechtmäßige Überwachungsoperationen auf, die mit seinen Produkten durchgeführt wurden.“
Die jüngsten Enthüllungen über Intellexa bergen alle Merkmale eines historischen, internationalen Skandals, genau wie die Nutzung von Pegasus durch staatliche und unternehmerische Einrichtungen weltweit internationale Empörung, strafrechtliche Ermittlungen und jahrelange Rechtsstreitigkeiten ausgelöst hat.
Die Verbreitung bedrohlicher privater Spionagewerkzeuge – und deren massenhafter Missbrauch durch zahlende Kunden – ist jedoch kein Zufall, sondern eine beabsichtigte Folge von Israels unerbittlichem Streben nach Cyberkriegsführung. 2018 prahlte der israelische Premierminister Benjamin Netanjahu :
„Cybersicherheit wächst durch Zusammenarbeit, und Cybersicherheit als Geschäftsfeld ist enorm … Wir haben Unsummen für unseren Militärgeheimdienst, Mossad und Shin Bet ausgegeben. Wirklich enorme Summen. Ein großer Teil davon fließt nun in die Cybersicherheit … Wir glauben, dass das nie endende Streben nach Sicherheit ein enormes Geschäftspotenzial birgt.“
Diese Investitionen manifestieren sich in nahezu allen Bereichen der israelischen Gesellschaft. Zahlreiche Universitäten in Tel Aviv entwickeln mit staatlicher Unterstützung neue Technologien und bilden zukünftige Generationen von Cyberspionen und digitalen Kriegern aus, die dann in die Reihen der Streitkräfte der Besatzungsmacht eintreten.
Nach dem Ende ihres Militärdienstes stellten die Absolventen häufig fest, dass Unternehmen im In- und Ausland die gleichen monströsen Dienstleistungen, die an Palästinensern erprobt worden waren, privaten Einrichtungen und Regierungen anboten, ohne dass es eine Aufsicht oder Garantie dafür gab, dass diese Ressourcen nicht für böswillige Zwecke verwendet würden.
Die Geheimdienstfehler , die den Erfolg der Operation Al-Aqsa Flood am 7. Oktober 2023 ermöglichten, fügten Israels Glaubwürdigkeit als führender Akteur im Bereich der Cybersicherheit einen schweren Schlag zu und zerstörten gleichzeitig seine Marke „Startup Nation“ , was zu einem drastischen Einbruch der ausländischen Investitionen in die Technologiebranche des Landes führte .
Der eigentliche Skandal ist nicht nur die Existenz von Unternehmen wie Intellexa. Es ist die internationale Straflosigkeit, die sie genießen, die westlichen Partnerschaften, die sie unterhalten, und die Komplizenschaft von Regierungen, die die Augen vor der weltweit exportierten israelischen Cyberkriegsführung verschließen.
