Pegasus: Die Spyware, die Staaten kaufen, um Gedanken zu lesen

Wie ein kommerzielles israelisches Überwachungsprodukt zur bevorzugten Waffe von Regierungen gegen ihre eigenen Bürger wurde, und was der technische Begriff “Schutz” in diesem Kontext wirklich bedeutet

In den Jahren meiner Tätigkeit als öffentlich bestellter Sachverständiger habe ich viele Dinge über das Verhältnis zwischen Staat und Überwachungstechnologie beobachtet, die in Parlamentsausschüssen und Pressemitteilungen nicht besprochen werden. Ich habe Fahrzeuge untersucht, deren Innenbeleuchtung Kameras verbarg, die so klein und so präzise positioniert waren, dass die Insassen keinen Grund hatten, danach zu suchen, und keine Mittel, sie ohne Spezialausrüstung zu finden. Ich habe Belege für akustische Erfassung aus Privatwohnungen gesehen, die methodisch so sauber war, im forensischen Sinne, dass die nachträgliche Bestimmung des Installationspunkts praktisch unmöglich war. Und ich habe wiederholt die Lücke beobachtet zwischen dem, was das Überwachungsrecht erlaubt, und dem, was die Überwachungspraxis erzeugt, eine Lücke, die durch Gesetzgebung nie geschlossen wurde, weil die Gesetzgebung fast immer nach der Fähigkeit entsteht und nach ihrer Nutzung. Was ich über Pegasus weiß, weiß ich daher nicht als distanzierter Beobachter der Cybersicherheitsliteratur, sondern als jemand, der ein Berufsleben damit verbracht hat, zu beobachten, was geschieht, wenn technische Fähigkeit der rechtlichen Rechenschaftspflicht und der öffentlichen Aufmerksamkeit um mehrere Jahre vorauseilt.

Pegasus ist keine Schadsoftware im herkömmlichen Sinne. Sie ist nicht das Produkt krimineller Hacker oder eines feindlichen Geheimdienstes, der Finanzdaten oder Ransomware-Hebel sucht. Sie ist ein kommerzielles Produkt, entwickelt vom israelischen Unternehmen NSO Group, ausschließlich an Regierungen verkauft, mit einem Einsatzpreis im Millionenbereich, exportiert unter einem Lizenzsystem, das vom israelischen Verteidigungsministerium kontrolliert wird. Die NSO Group beschreibt ihre Kundenbasis als rund 60 Geheimdienst-, Militär- und Strafverfolgungsbehörden in etwa 40 Ländern. Das Unternehmen vermarktet das Produkt als Werkzeug zur Bekämpfung von Terrorismus und schwerer organisierter Kriminalität. Was die forensischen Belege unabhängiger Forscher zwischen 2016 und 2024 zeigen, ist, dass das Produkt wiederholt und systematisch gegen Journalisten, Menschenrechtsaktivisten, Anwälte, Oppositionspolitiker und deren Familienangehörige eingesetzt wurde, auf mehreren Kontinenten, einschließlich EU-Mitgliedstaaten.

Was Zero-Click tatsächlich bedeutet

Der Begriff Zero-Click taucht in der Berichterstattung über Pegasus häufig auf und wird fast immer unzureichend erklärt. Bei konventionellen Digitalangriffen muss das Ziel zu einer Handlung verleitet werden: einen Link anklicken, einen Anhang öffnen, Software installieren, auf eine Phishing-Nachricht reagieren. Die Erfolgswahrscheinlichkeit des Angreifers hängt erheblich von der digitalen Medienkompetenz und dem Vorsichtsverhalten des Ziels ab. Zero-Click-Exploits beseitigen diese Abhängigkeit vollständig. Das Ziel tut nichts. Der Angriff gelingt, weil das Gerät eine Nachricht empfangen hat.

Der Mechanismus hinter dieser Fähigkeit erfordert eine Erklärung, die über “es nutzt eine Schwachstelle aus” hinausgeht, weil die Raffinesse der dahinterliegenden Ingenieursarbeit in kommerziell bekannter Software kein Vergleichbares hat. Als Citizen Lab, die Cybersicherheitsforschungsgruppe der Munk School of Global Affairs der Universität Toronto, 2021 einen aktiven Pegasus-Zero-Click-Exploit abfing und ihn Apple sowie dem Project-Zero-Team von Google zur Verfügung stellte, beschrieben die Project-Zero-Ingenieure ihn als “einen der technisch ausgefeiltesten Exploits, den wir je gesehen haben” (Marczak et al., 2021, FORCEDENTRY: NSO Group iMessage Zero-Click Exploit Captured in the Wild, Citizen Lab Research Report No. 143, Universität Toronto). Dieser Exploit, den Citizen Lab FORCEDENTRY nannte, funktionierte, indem er eine in einer iMessage-Anlage als GIF-Datei getarnte, bösartig konstruierte PDF-Datei schmuggelte. Die Datei nutzte eine Integer-Overflow-Schwachstelle in Apples CoreGraphics-Bildrenderingbibliothek aus, konkret im JBIG2-Bildkompressions-Decoder, einem Bildformat, das so ungebräuchlich ist, dass seine forensische Verwendung als Angriffsvektor einen Ingenieursaufwand erforderte, den Project Zero als vergleichbar mit den Fähigkeiten führender Geheimdienste einschätzte. Mit rund 70.000 Segmentbefehlen innerhalb der JBIG2-Daten baute der Exploit im Arbeitsspeicher des Geräts eine funktionstüchtige Logikarchitektur zusammen, bevor irgendeine der Sandbox-Schutzmaßnahmen von Apple eingreifen konnte. FORCEDENTRY war wirksam gegen iOS-, macOS- und watchOS-Geräte und wurde von Apple im September 2021 mit iOS 14.8 geschlossen.

Im September 2023 fing Citizen Lab einen weiteren aktiven Zero-Click-Exploit ab, der gegen das Gerät einer Mitarbeiterin einer Bürgerrechtsorganisation in Washington, DC eingesetzt wurde. Dieser Exploit, BLASTPASS genannt, war in der Lage, iPhones mit iOS 16.6, der zum Zeitpunkt des Angriffs aktuellsten Version, ohne jede Interaktion des Opfers zu kompromittieren. Der Angriff übermittelte bösartige Bilder in PassKit-Anhängen, dem Dateiformat von Apple Wallet, über iMessage von angreiferkontrollierten Accounts. Apple schloss die zugrunde liegenden Schwachstellen CVE-2023-41064 und CVE-2023-41061 mit iOS 16.6.1, veröffentlicht am 7. September 2023, eine Woche nach Citizen Labs Mitteilung an Apple (Citizen Lab, 2023, BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild, citizenlab.ca).

Das Muster ist nicht zufällig. Über 8 Jahre dokumentierter Pegasus-Aktivität hat die NSO Group systematisch Zero-Day-Schwachstellen, also dem Hersteller bislang unbekannte Lücken, in der am weitesten verbreiteten Smartphone-Software der Welt identifiziert und erworben. Wenn ein Exploit geschlossen wird, folgen neue. Das ist kein opportunistisches Hackertum. Es ist eine Produktentwicklungs- und Wartungsoperation, finanziert durch die Abonnementeinnahmen von Regierungskunden.

50.000 Telefonnummern und die Journalisten auf der Liste

Im Juli 2021 begann das Pegasus Project, ein Konsortium von 17 Medienorganisationen, koordiniert von der Pariser gemeinnützigen Organisation Forbidden Stories und unterstützt durch forensische Analysen von Amnesty Internationals Security Lab, die Ergebnisse einer Untersuchung eines geleakten Datensatzes mit mehr als 50.000 Telefonnummern zu veröffentlichen, die seit rund 2016 von Kunden der NSO Group als Beobachtungsziele markiert worden waren (Amnesty International, 2021, Massive Data Leak Reveals Israeli NSO Group’s Spyware Used to Target Activists, Journalists, and Political Leaders Globally, amnesty.org). Zu den Medienpartnern zählten die Washington Post, der Guardian, Le Monde, die Süddeutsche Zeitung, Die Zeit sowie mehr als ein Dutzend weiterer führender internationaler Publikationen. Die forensische Analyse wurde vom Amnesty Security Lab durchgeführt und von Citizen Lab unabhängig überprüft, das die Methodik bestätigte.

Der Datensatz enthielt die Nummern von Kabinettsmitgliedern und Staatsoberhäuptern aus mehreren Ländern, darunter, wie die Untersuchung ergab, das Regierungsoberhaupt eines NATO-Mitgliedstaats. Er enthielt die Nummern von mindestens 180 Journalisten in 20 Ländern, darunter Mitarbeiter der Associated Press, von CNN, der New York Times und Reuters. Unter denen, bei denen forensische Untersuchungen von Geräteprotokollen eine tatsächliche Infektion mit Pegasus bestätigten, war ein Journalist der indischen Zeitung The Wire, dessen Telefon Infektionsspuren noch aus dem Juni 2021 aufwies. Die Untersuchung identifizierte mindestens 10 Länderclusters unter den Betreibern, darunter Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien und die Vereinigten Arabischen Emirate, die Citizen Lab unabhängig als frühere oder aktuelle NSO-Kunden eingestuft hatte (Washington Post, 18. Juli 2021, Private Israeli Spyware Used to Hack Cellphones of Journalists, Activists Worldwide).

Der Fall Jamal Khashoggi veranschaulicht am extremsten, was Pegasus in den Händen einer repressiven Regierung bedeuten kann. Khashoggi, der saudi-arabische Journalist und Washington-Post-Kolumnist, wurde im Oktober 2018 im saudi-arabischen Konsulat in Istanbul von Agenten der saudi-arabischen Regierung ermordet. Forensische Analysen von Geräten, die Menschen aus seinem unmittelbaren Umfeld gehörten, Menschen in direktem Kontakt mit ihm in der Periode unmittelbar vor seinem Tod, zeigten Belege für Pegasus-Infektionen. Die NSO Group bestritt jede Verbindung ihres Produkts zum Mord. Der technische Befund, der von unabhängigen forensischen Experten überprüft wurde, stützt diese Bestreitung in keiner wesentlichen Hinsicht.

Das Geschäftsmodell

Die NSO Group ist keine Schattenfirma. Sie operiert mit einer Exportlizenz, die vom israelischen Staat ausgestellt wird, was bedeutet, dass jeder Verkauf vom israelischen Verteidigungsministerium genehmigt werden muss. Das Unternehmen gibt an, ausschließlich an geprüfte Regierungsbehörden zu verkaufen und nach der Auslieferung an einen Kunden keinen Zugang zu den durch sein Produkt gesammelten Informationen zu haben. Diese Behauptung ist als Designprinzip technisch plausibel und als Erklärung operativer Unwissenheit praktisch unglaubwürdig: Ein Unternehmen, das die Exploit-Infrastruktur entwickelt und wartet, die erforderlich ist, um Zero-Click-Fähigkeiten über mehrere iOS-Generationen hinweg aufrechtzuerhalten, ist operativ so tief in die Überwachungsinfrastruktur seiner Kunden eingebettet, dass ein rein transaktionales Verhältnis diese Einbettung nicht erfordert.

Im November 2021 setzte das US-Handelsministerium die NSO Group auf seine Entity List, was dem Unternehmen effektiv den Zugang zu amerikanischen Technologien und Infrastrukturen verweigert, mit der Begründung, das Unternehmen habe “Spyware an ausländische Regierungen entwickelt und geliefert, die diese Werkzeuge böswillig gegen Regierungsbeamte, Journalisten, Geschäftsleute, Aktivisten, Akademiker und Botschaftsmitarbeiter eingesetzt haben” (US Department of Commerce, Bureau of Industry and Security, November 2021). Im selben Monat reichte Apple Inc. Klage gegen die NSO Group bei einem Bundesgericht in Kalifornien ein und beantragte eine dauerhafte einstweilige Verfügung gegen NSOs Nutzung von Apple-Produkten und -Infrastruktur. WhatsApp hatte bereits im Oktober 2019 eine vergleichbare Klage eingereicht und behauptet, NSO habe eine Zero-Click-Schwachstelle in der WhatsApp-Anruffunktion genutzt, um in einem 2-wöchigen Beobachtungsfenster rund 1.400 Geräte zu kompromittieren (CVE-2019-3568).

In Deutschland kompliziert die innenpolitische Dimension das Bild zusätzlich. Im Oktober 2021 bestätigten Berichte mehrerer Medien, dass der Bundesnachrichtendienst eine modifizierte Version von Pegasus für seine Auslandsoperationen erworben hatte. Das Parlamentarische Kontrollgremium des Bundestags war über diesen Erwerb nicht informiert worden, was gegen den Kontrollrahmen verstößt, der für die technischen Fähigkeiten des BND gilt. Auch das Bundesamt für Verfassungsschutz unterhielt eine Pegasus-Lizenz für den Inlandseinsatz. Was offiziell als streng kontrollierter, rechtskonformer Einsatz eines Überwachungswerkzeugs beschrieben wurde, stellte sich bei näherer Betrachtung als Erwerb eines Produkts heraus, dessen zivilistischer Missbrauch durch andere Regierungskunden zu dem Zeitpunkt, als der Kauf getätigt wurde, bereits umfassend dokumentiert war.

Was Apples Lockdown-Modus ist, und was er nicht ist

Im September 2022 führte Apple mit iOS 16 den Lockdown-Modus ein, einen gehärteten Betriebszustand, der die Angriffsfläche des Geräts erheblich einschränkt, indem eine Reihe von Funktionen deaktiviert wird, die historisch als Vektoren für anspruchsvolle Angriffe gedient haben. Im Lockdown-Modus werden die meisten Dateianhangtypen in iMessage blockiert, Link-Vorschauen deaktiviert, FaceTime-Anrufe von unbekannten Nummern abgelehnt, kabelgebundene Verbindungen zu Computern bei gesperrtem Gerät blockiert und Konfigurationsprofile können nicht installiert werden. Der Preis dafür ist ein deutlich eingeschränkter Funktionsumfang: Bestimmte Apps funktionieren nicht mehr normal, gemeinsame Alben in Fotos werden unzugänglich, und einige Webtechnologien werden deaktiviert.

Citizen Labs Analyse der PWNYOURHOME-Exploit-Kette, die Pegasus 2022 einsetzte, ergab, dass Geräte mit iOS 16 im Lockdown-Modus Echtzeitwarnungen erhielten, wenn PWNYOURHOME gegen sie versucht wurde, und dass das Forschungsteam keine erfolgreiche Kompromittierung eines Geräts beobachtete, auf dem der Lockdown-Modus aktiv war (Marczak et al., 2023, Triple Threat: NSO Group’s Pegasus Spyware Returns in 2022 with a Trio of iOS 15 and iOS 16 Zero-Click Exploit Chains, Citizen Lab, Universität Toronto). Das ist der klarste verfügbare Nachweis, dass der Lockdown-Modus einen sinnvollen Schutz gegen zumindest einige aktive Pegasus-Exploit-Ketten bietet. Es ist kein Nachweis, dass er eine vollständige Lösung darstellt oder dass die NSO Group seitdem keine Umgehungswege entwickelt hat.

Amnesty Internationals Security Lab hat den Mobile Verification Toolkit veröffentlicht und pflegt ihn weiter, ein Open-Source-Werkzeug zur forensischen Untersuchung von iOS- und Android-Geräten auf Pegasus-Infektionsindikatoren. MVT ist das Werkzeug, das in den wichtigsten dokumentierten Pegasus-Untersuchungen eingesetzt wurde. Es erfordert technisches Können, das die meisten Nutzer nicht mitbringen, stellt aber die methodisch rigoroseste öffentlich verfügbare Möglichkeit dar, festzustellen, ob ein Gerät kompromittiert wurde (Amnesty International Security Lab, 2021, Mobile Verification Toolkit, github.com/mvt-project/mvt).

Was das Risiko tatsächlich reduziert

Die praktischen Sicherheitsempfehlungen, die die meisten Publikationen zu Pegasus anbieten, sind teilweise korrekt und teilweise irreführend hinsichtlich der Natur der Bedrohung. Das Betriebssystem aktuell zu halten ist tatsächlich wichtig: Jeder dokumentierte Pegasus-Zero-Click-Exploit wurde gegen eine spezifische Schwachstelle in einer spezifischen OS-Version eingesetzt und durch ein Update mitigiert. Das Intervall zwischen dem Exploit-Einsatz und der Verfügbarkeit eines Patches ist das operative Fenster. Dieses Fenster durch zeitnahes Aktualisieren zu verkleinern ist vernünftiges Verhalten. Die Einschränkung: Zero-Day-Schwachstellen sind per Definition dem Hersteller unbekannt, bis sie entdeckt werden, und während des Zeitraums ihrer Nutzung existiert kein Patch.

Signal ist die technisch robusteste verfügbare Messaging-Anwendung für verschlüsselte Kommunikation, und ihre Nutzung ist sinnvoll. Ihr quelloffener Code wurde von unabhängigen Sicherheitsforschern überprüft, was bei WhatsApps proprietärer Implementierung nicht in vergleichbarer Weise möglich ist. Der Einwand, dass Pegasus Kommunikation abfangen kann, indem es direkt auf das Mikrofon zugreift oder Inhalte vor der Verschlüsselung abfängt, ist zutreffend, gilt aber ausschließlich für ein vollständig kompromittiertes Gerät.

App-Berechtigungen verdienen die Aufmerksamkeit, die die meisten Nutzer ihnen nicht schenken. Eine Anwendung, die keinen funktionalen Bedarf für Mikrofonzugang hat, diesem aber bei einer unaufmerksamen Installation zugestimmt wurde, stellt eine unnötige Angriffsfläche dar. Das Überprüfen und Einschränken von Berechtigungen erfordert rund 10 Minuten pro Gerät und erzeugt eine sinnvoll kleinere Angriffsfläche. Starke, einzigartige Passwörter, verwaltet durch einen seriösen Passwortmanager, kombiniert mit Hardware-Sicherheitsschlüsseln anstelle von SMS-basierter Zwei-Faktor-Authentifizierung, wo der Dienst dies unterstützt, schließen Lücken, die bei auf Zugangsdaten basierenden Angriffen häufig ausgenutzt werden.

Die ehrliche Einschätzung ist jedoch diese: Wenn eine Regierung mit einem Pegasus-Vertrag entschieden hat, dass ein bestimmtes Gerät ein Ziel ist, und ein Zero-Day-Exploit für die aktuelle Betriebssystemversion verfügbar ist, sind die Schutzmaßnahmen, die einem einzelnen Nutzer zur Verfügung stehen, nicht ausreichend, um eine Kompromittierung zu verhindern. Das ist keine Aussage, die Hoffnungslosigkeit erzeugen soll. Es ist eine technische Tatsachenfeststellung, die die kommerzielle Anreizstruktur der Sicherheitsindustrie tendenzweise verschleiert. Pegasus ist nicht für die Massenüberwachung der Allgemeinheit konzipiert. Es ist für gezielte, hochwertige Erfassung gegen spezifische Individuen konzipiert. Die überwiegende Mehrheit der Smartphone-Nutzer ist kein Pegasus-Ziel und wird es nie sein. Für Journalisten, Menschenrechtsverteidiger, Vertreter der Zivilgesellschaft, Anwälte, die mit sensiblen Fällen befasst sind, und Oppositionspolitiker in Umgebungen, in denen ihre Regierungen Pegasus-Zugang haben, ist die Bedrohung real, dokumentiert und durch Sicherheitsmaßnahmen auf Verbraucherniveau allein nicht eliminierbar.

Eine Warnung vor dem letzten Wort

Die Pegasus-Geschichte wird häufig als Geschichte über einen bösen Akteur erzählt, ein Unternehmen, das ein gefährliches Produkt an Kunden verkaufte, die es missbrauchten. Diese Rahmung ist für alle Beteiligten bequem, einschließlich der Regierungen, die Pegasus gekauft haben, und der demokratischen Regierungen, die die NSO Group nun kritisieren, während sie ihre eigenen inländischen Überwachungsinfrastrukturen pflegen. Sie ermöglicht es, die Diskussion durch Sanktionierung eines Unternehmens zu beenden, ohne den zugrundeliegenden Markt zu adressieren, nämlich den kommerziellen Verkauf offensiver Cyberfähigkeiten an Regierungen, die für ihre Nutzung keiner bindenden rechtlichen Rechenschaftspflicht unterliegen. Die NSO Group hat Konkurrenten. Die Produktkategorie wird unabhängig vom Schicksal der NSO Group bestehen bleiben.

Das schwierigere Gespräch betrifft die Entscheidung, die demokratische Regierungen treffen, wenn sie Überwachungstechnologie lizenzieren oder dulden, deren dokumentierter ziviler Einsatz die Ermordung eines Journalisten, die Überwachung von Menschenrechtsanwälten und die Bespitzelung investigativer Reporter in EU-Mitgliedstaaten umfasst. Deutschlands BND kaufte Pegasus für Auslandsoperationen in demselben Jahr, in dem das Pegasus Project seinen Einsatz gegen ungarische Journalisten dokumentierte. Das sind keine getrennten Geschichten. Sie sind Teile desselben Markts, an dem demokratische Regierungen sowohl regulierend teilnehmen als auch als Käufer, und die Beteiligung geht der Regulierung konsistent genug voraus, dass die Lücke zum Merkmal wird, nicht zur Ausnahme.

Jedes Gerät ist ein potenzieller Zeuge gegen seinen Träger

In der Forensik gilt ein Grundsatz, der mit gleicher Kraft für digitale Geräte gilt: Das Objekt, das ein Mensch am nächsten bei sich trägt, das seine Bewegungen, Gespräche, Kontakte und privaten Gedanken kennt, ist auch die wertvollste Informationsquelle über ihn. Wir haben Jahrzehnte damit verbracht, Smartphones so zu gestalten, dass sie alles wissen und nichts vergessen. Der Nachrichtenwert eines vollständig kompromittierten Telefons, eines Geräts, aus dem alles in Echtzeit zugänglich ist, von einem feindlichen Akteur, der einer Regierungsbehörde dafür gezahlt hat, ist kaum zu überschätzen. Jeder Anruf, jede Nachricht auf jeder Plattform, der Umgebungsklang des Mikrofons, wenn das Telefon einfach auf einem Tisch liegt, die Kamera, der Standortverlauf, das Kontaktnetzwerk: alles davon wird für denjenigen lesbar, der das Implantat kontrolliert.

Menschen, die dies als Problem für Kriminelle und Terroristen abtun, haben sowohl die Belege als auch die historische Überlieferung von Überwachungstechnologie fehlgelesen. Staaten haben ihre Überwachungsfähigkeiten noch nie erfolgreich auf Kriminelle und Terroristen beschränkt. Die Überlieferung zeigt konsistent und über Jurisdiktionen hinweg, dass Fähigkeiten, die für eine Klasse von Zielen entwickelt wurden, auf benachbarte Klassen übergehen, wann immer operativer Druck oder politischer Wille vorhanden ist. Die Pegasus-Daten sind keine Liste von Kriminellen. Es ist eine Liste von Journalisten, Anwälten und Politikern. Die Schlussfolgerung ist nicht, dass Pegasus einzigartig gefährlich wäre. Die Schlussfolgerung ist, dass jede Überwachungstechnologie, die je von einem Staat eingesetzt wurde, schließlich gegen jemanden verwendet wurde, dessen Vergehen darin bestand, mit diesem Staat nicht einverstanden zu sein. Pegasus ist schlicht das aktuelle, am besten dokumentierte Beispiel eines Musters, das in der historischen Überlieferung keine Ausnahmen kennt.

Quellen

• Amnesty International Security Lab. (2021). Mobile Verification Toolkit [Open-Source-Software]. GitHub. https://github.com/mvt-project/mvt
• Amnesty International. (2021, 18. Juli). Massive data leak reveals Israeli NSO Group’s spyware used to target activists, journalists, and political leaders globally. https://www.amnesty.org/en/latest/press-release/2021/07/the-pegasus-project/
• Amnesty International Security Lab. (2023, Dezember). Forensic appendix: Pegasus zero-click exploit threatens journalists in India. https://securitylab.amnesty.org/latest/2023/12/pegasus-zero-click-exploit-threatens-journalists-in-india/
• Beer, I., & Groß, S. (2021, 15. Dezember). A deep dive into an NSO zero-click iMessage exploit: Remote code execution. Google Project Zero. https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html
• Citizen Lab. (2023, 7. September). BLASTPASS: NSO Group iPhone zero-click, zero-day exploit captured in the wild. Universität Toronto. https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/
• Forbidden Stories & Amnesty International. (2021). The Pegasus Project [Untersuchung]. Forbidden Stories. https://forbiddenstories.org/pegasus-the-new-rules-of-spyware/
• Marczak, B., Scott-Railton, J., Abdul Razzak, B., Al-Jizawi, N., Anstis, S., Berdan, K., & Deibert, R. (2021). FORCEDENTRY: NSO Group iMessage zero-click exploit captured in the wild. Citizen Lab Research Report Nr. 143, Universität Toronto. https://citizenlab.ca/2021/09/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/
• Marczak, B., Scott-Railton, J., Abdul Razzak, B., & Deibert, R. (2023). Triple threat: NSO Group’s Pegasus spyware returns in 2022 with a trio of iOS 15 and iOS 16 zero-click exploit chains. Citizen Lab, Universität Toronto. https://citizenlab.ca/2023/04/nso-groups-pegasus-spyware-returns-in-2022/
• US Department of Commerce, Bureau of Industry and Security. (2021, 3. November). Addition of certain entities to the entity list [Federal Register Notice]. https://www.federalregister.gov/documents/2021/11/04/2021-23985/addition-of-certain-entities-to-the-entity-list
• Washington Post. (2021, 18. Juli). Private Israeli spyware used to hack cellphones of journalists, activists worldwide. https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/

</user_query>