Spionagesoftware entdeckt: Wie Belarus Journalisten bespitzelt

Nach der Befragung durch den belarussischen Geheimdienst KGB wurde ein*e Journalist*in selbst zum Ziel der Überwachungsorganisation[1]: Noch während des Verhörs soll der Person eine bislang unbekannte Spionagesoftware auf das Smartphone gespielt worden sein. Das berichtet das Digital Security Lab von Reporter ohne Grenzen (RSF)[2]. Nach Einschätzung der Journalismusorganisation stellt die Enttarnung einen schweren Schlag für die Arbeit des KGB dar – auch weil Varianten der Software seit mindestens vier Jahren im Einsatz sein sollen. Das ergab der Vergleich auf einer Antivirenplattform.

Aus Sicherheitsgründen veröffentlicht RSF die Identität der betroffenen Person nicht. Bekannt macht sie allerdings die Vorgänge, die zur Enttarnung der Software geführt haben sollen: Während der Befragung musste die betroffene Person das Smartphone entsperren – angeblich, um einem Beamten Inhalte auf dem Gerät zu zeigen. Das Digital Security Lab geht davon aus, dass die Sicherheitskräfte die Eingabe der PIN beobachteten, das Smartphone noch während des Verhörs wieder aus einem Schließfach holten – und die Spyware installierten.

Wenige Tage nach dem Termin beim KGB[3] schlug die Antivirensoftware auf dem Gerät Alarm, daraufhin wandte sich die betroffene Person an die osteuropäische NGO Resident. Die wiederum untersuchte gemeinsam mit dem Digital-Security-Lab-Team von RSF das Smartphone.

Eine technische Analyse des als ResidentBat bezeichneten Spionageprogramms konnte »nd« vorab einsehen. Demnach richtet es sich gegen Android-Smartphones und ermöglicht den Zugriff auf hochsensible Daten, darunter Anrufe, (verschlüsselte) Nachrichten, und den Telefonspeicher. Im Unterschied zur bekannten Abhörsoftware Pegasus nutzt ResidantBat keine Sicherheitslücken aus, sondern es wird ein physischer Zugriff auf das Gerät benötigt, um die Software aufzuspielen.

Der Bericht enthält auch Details zu Auffälligkeiten, die auf eine Infektion mit der Software hindeuten. Um etwa die Aufzeichnung von Anrufen zu verschleiern, erscheint eine Benachrichtigung, die ein Software-Update vortäuscht. Da mit der Spionagesoftware der gesamte Inhalt des Geräts gelöscht werden kann, empfiehlt RSF, ein Smartphone im Verdachtsfall umgehend in den Flugzeugmodus zu schalten, bevor digitale Forensiker es überprüfen.

»Der Fall zeigt, wie massiv in die Privatsphäre von Journalist*innen eingegriffen werden kann – selbst ohne das Ausnutzen von Sicherheitslücken«, sagt Janik Besendorf, IT-Sicherheitsexperte beim Digital Security Lab.

Unklar bleibt aber, wer ResidantBat entwickelt hat. Im Quellcode der Software sollen sich englischsprachige Zeichenketten befinden, was laut RSF darauf hindeutet, dass es sich um ein Produkt handeln könnte, das nicht ausschließlich für den Einsatz in Belarus entwickelt wurde beziehungsweise von einer Drittpartei stammt.

»Der Fund zeigt auch, dass die belarusische Regierung vor keinem Mittel zurückschreckt, um ihre Kritiker*innen mundtot zu machen«, sagt Anja Osterhaus, Geschäftsführerin von Reporter ohne Grenzen. »32 Journalist*innen sitzen im Gefängnis, Hunderte mussten das Land verlassen – und jene Journalist*innen und Oppositionellen, die bleiben, werden seit Jahren systematisch ausspioniert.«

In der von RSF veröffentlichten Rangliste der Pressefreiheit belegt Belarus im Jahr 2025 Platz 166 von 180. Nirgendwo sonst in Europa seien so viele Journalist*innen inhaftiert. Nach der gefälschten Präsidentenwahl von 2020 und den darauffolgenden Massenprotesten hat Diktator Alexander Lukaschenko die Unterdrückung unabhängiger Medien drastisch verschärft.

Links:

1. https://www.nd-aktuell.de/artikel/1194062.belarus-nikolai-statkewitsch-wieder-in-haft.html
2. https://www.reporter-ohne-grenzen.de/artikel/blog/4159/digitale-sicherheit-und-spyware
3. https://www.nd-aktuell.de/artikel/1196205.politische-gefangene-deutschland-nimmt-belarussen-auf.html