Alte Tricks, neue Gefahren: Wie Hack-for-Hire-Gruppen iCloud-Backups ins Visier nehmen
Eine aktuelle Untersuchung offenbart eine bedrohliche Entwicklung in der Cybersicherheitslandschaft: Während die Aufmerksamkeit der Öffentlichkeit oft auf hochkomplexe Zero-Day-Exploits gerichtet ist, zeigen neue Berichte, dass altbewährte Methoden wie Phishing weiterhin verheerende Wirksamkeit entfalten. Eine langjährige, von Indien aus operierende Hack-for-Hire-Gruppe hat über Jahre hinweg Journalisten, Aktivisten und Regierungsbeamte im Nahen Osten und Nordafrika ins Visier genommen – und dabei unter anderem gefälschte Apple-Seiten genutzt, um an iCloud-Backups zu gelangen.
Die Akteure: BITTER APT und der Appin-Nachfolger
Wie TechCrunch unter Verweis auf drei kooperierende Cybersicherheitsunternehmen – Access Now, Lookout und SMEX – berichtet, lässt sich die Kampagne der Gruppe BITTER APT zuordnen. Diese gilt als Abspaltung des indischen Hack-for-Hire-Unternehmens Appin. Die Angriffe ereigneten sich zwischen 2023 und 2025 und richteten sich nicht nur gegen Zivilisten und Offizielle in der MENA-Region, sondern auch gegen Ziele im Vereinigten Königreich sowie potenziell Alumni amerikanischer Universitäten.
Der Angriffsvektor: Wenn Simplexität zum Problem wird
Besonders bemerkenswert – und alarmierend – ist die verwendete Taktik. Anders als bei den kürzlich aufgefallenen Coruna- und DarkSword-Exploits, die durch komplexe Verkettung bekannter Schwachstellen veraltete iPhones und iPads kompromittierten, setzte diese Kampagne auf deutlich weniger aufwendige Methoden.
Anstatt aufwendige Sicherheitslücken im iOS-Code auszunutzen, verließen sich die Angreifer auf das schwächste Glied in der Kette: den Menschen. Das Ziel war es, die Opfer durch Phishing dazu zu bringen, ihre Apple-ID-Zugangsdaten preiszugeben. Mit diesen Daten wiederum konnten die Angreifer auf die iCloud-Backups zugreifen – und damit faktisch auf den gesamten Inhalt der iPhones der Zielpersonen.
Lookout identifizierte dabei fast 1.500 unterschiedliche Webadressen, die legitime Dienste imitieren sollten. Spezifisch für Apple waren unter anderem folgende Domains im Einsatz:
facetime-web[.]me-en[.]ioapple[.]id-us[.]ccicloud[.]com-ar[.]meicloud[.]com-service[.]infosignin-apple[.]com-en-uk[.]info
Die Muster sind offensichtlich: Durch das Einfügen von regionalen Kürzeln (wie ar, us, uk) und Service-Begriffen wird eine dringende Handlung vorgetäuscht, die Nutzer dazu verleiten soll, sich auf den gefälschten Seiten einzuloggen.
Breiter angelegte Kampagne über alle Plattformen hinweg
Die Operation beschränkte sich jedoch keineswegs auf Apple-Ökosysteme. Die Berichte zeigen, dass auch Dienste von Google, Microsoft, Signal, WhatsApp und Yahoo durch entsprechende Phishing-Infrastruktur und andere Hacking-Techniken ins Visier genommen wurden. Es handelt sich also um einen breit angelegten Ansatz, der je nach Zielplattform und Opferprofil variiert wurde.
Der Trend: Hacking als Dienstleistung für Regierungen
Die vielleicht wichtigste Erkenntnis dieser Untersuchung betrifft die strukturelle Entwicklung der Cyberkriegsführung. TechCrunch verweist auf einen „wachsenden Trend von Regierungsbehörden, ihre Hacking-Operationen an private Hack-for-Hire-Unternehmen auszulagern“.
Justin Albrecht, Principal Researcher bei Lookout, liefert dafür zwei handfeste Gründe: Zum einen erhalten die Auftraggeber durch die Auslagerung „plausible deniability“ (plausible Abstreitbarkeit), da die Infrastruktur und Operationen von den privaten Firmen betrieben werden. Zum anderen sind diese Hack-for-Hire-Gruppen für die Kunden wahrscheinlich deutlich günstiger als der Kauf kommerzieller Spyware-Lösungen, wie sie etwa von der NSO Group angeboten werden.
Einordnung und Fazit
Dieser Fall verdeutlicht einen doppelten Missstand in der aktuellen Sicherheitslandschaft. Zum einen zeigt sich, dass die simple Phishing-Masche trotz jahrzehntelanger Aufklärung nach wie vor hochgradig effektiv ist – insbesondere, wenn sie gezielt und in professionellem Rahmen eingesetzt wird. Die Infrastruktur mit über 1.400 Domains spricht für ein industrielles Ausmaß.
Zum anderen rückt die Privatisierung staatlicher Hacking-Aktivitäten in den Fokus. Wenn Regierungen Angriffe auf Journalisten und Aktivisten an private Firmen auslagern, senken sie nicht nur die Kosten, sondern auch die politischen Risiken. Die Distanz zwischen Auftraggeber und Tat schafft eine Grauzone der Verantwortungslosigkeit, in der Menschenrechte mit dem Argument der nationalen Sicherheit verletzt werden können, ohne dass der Staat direkt die Finger im Spiel hat.
Für Nutzer – insbesondere solche in sensiblen Positionen – bleibt die Lehre, dass technische Schutzmaßnahmen wie Ende-zu-Ende-Verschlüsselung nur so stark sind wie die Achtsamkeit der Anwender. Wer seine Zugangsdaten auf einer falschen Seite eingibt, öffnet dem Angreifer Tür und Tor – ganz ohne Zero-Day-Exploit.
Quelle: 9to5Mac
