Trojaner in IndienFalsche Beweise untergejubelt

Die Gruppe ModifiedElephant soll falsche Beweise auf den Computer des indischen Menschenrechtsaktivisten Rona Wilson geschmuggelt haben. Sicherheitsforscher:innen zeichnen den Hack nach.

Rona Wilson in einem Auto
Rona Wilson (links) bei seiner Verhaftung im Juni 2018. – Alle Rechte vorbehalten IMAGO / Hindustan Times

Überwachungssoftware kann auf infizierten Geräten nicht nur Daten auslesen, sondern auch welche dort hinterlassen – beispielsweise gefälschte Beweise, die eine Zielperson belasten. Das Szenario beschäftigt Fachleute in der Debatte um die Gefahr von Staatstrojanern schon länger. Nun ließ sich genau das offenbar bei einem Fall in Indien nachweisen.

Ein Bericht der US-amerikanischen IT-Sicherheitsfirma Sentinel One zeichnet nach, dass der indische Menschenrechtsaktivist Rona Wilson knapp ein Jahrzehnt lang Ziel von IT-Angriffen gewesen sein soll. Der 50-jährige sitzt heute wegen Terrorverdacht in einem Gefängnis in der Nähe von Mumbai. Einer der ihn belastenden Beweise ist ihm den IT-Sicherheitsforschenden zufolge untergeschoben worden. Es handele sich demnach um ein Brief mit angeblichen Mordplänen gegen den indischen Präsidenten Narendra Modi. Wilson wird vorgeworfen, Verbindungen zur maoistischen Rebellengruppe der Naxaliten zu haben, was dieser bestreitet. Ein Gerichtsverfahren steht noch aus.

So sollen die Dokumente platziert worden sein

Dass Wilson anscheinend mindestens zehn Dokumente auf dem Rechner platziert wurden, hatte die IT-Forensikfirma Arsenal Consulting schon im Februar 2021 herausgefunden (Bericht, zip-Format). Laut dem Bericht von Arsenal sollen die falschen Beweise gegen Wilson mittels des Trojaners Netwire auf dessen Rechner gekommen sein. Hierzu sollen die Angreifenden einen versteckten Ordner auf seinem Computer angelegt haben, auf den sie Dateien aufspielten, der auch nicht mehr gelöscht wurde. Von dort aus sollen sie die falschen Beweise auf einem USB-Stick von Wilson platziert haben, der später von der Polizei beschlagnahmt wurde. Im Bericht von Arsenal wird nachgezeichnet, wie das geschah:

Der Angreifer kopierte zunächst neun der zehn wichtigsten Dokumente (und andere) in diesem Fall am 14. März 2018 um 16:10 Uhr in den Ordner „System Volume Information“ des USB-Sticks. Ungefähr sechs Stunden später erstellte der Angreifer dann eine Reihe von Dummy-Ordnern (mit Dummy-Daten) unter dem Ordner „System Volume Information“ und verschob diese Dokumente schließlich in einen neuen Ordner.

Arsenal zufolge war Wilsons iPhone zudem seit 2017 mit dem NSO-Trojaner Pegasus infiziert. Der Bericht von Sentinel One knüpft an diese Untersuchungen an. Er beschreibt genauer, wie die Überwachung und das Platzieren der Daten abgelaufen sein soll. Dem Bericht zufolge habe die Überwachung viel länger angedauert als bislang angenommen.

Eine Hauptrolle gegen Wilson spielt eine Hacker-Gruppe, die Sentinel Labs „ModifiedElephant“ nennt. Laut den Erkenntnissen von Sentinel ist die Gruppe seit dem Jahr 2012 verantwortlich für zahlreiche Angriffe auf Menschenrechtler:innen, Anwalt:innen und Akademiker:innen. Sie sei heute noch aktiv und nutzt kommerziell verfügbare Trojaner wie Netwire und Dark Comet sowie einfache Keylogger, die Tastaturanschläge mitschreiben.

Die Schadsoftware werde bei Opfern mit der Methode des Spearphishings eingeschleust. Spearphishing ist eine besondere Form des Phishing. Dabei erhalten Opfer individuell zugeschnittene E-Mails, die dazu verleiten, eine Schadsoftware zu installieren. Diese kann etwa in infizierten Dokumenten oder Dateien versteckt sein. Wilson alleine erhielt laut dem Bericht 32 infizierte E-Mails von ModifiedElephant.

Zusammenhang von ModifiedElephant mit Verhaftungen

Sentinel Labs behauptet nicht, dass ModifiedElephant ein staatlicher indischer Akteur sei. Die Forschenden schreiben: „Wir stellen fest, dass die Aktivitäten von ModifiedElephant stark mit den Interessen des indischen Staates übereinstimmen.“ Zudem sei ein Zusammenhang zwischen den Angriffen von ModifiedElephant und der Verhaftung von Personen in kontroversen, politisch brisanten Fällen zu beobachten gewesen. Dabei führe die Gruppe einerseits eine Langzeitüberwachung durch, platziere aber auch Beweisstücke auf den Rechnern der überwachten Personen.

Sentinel Labs sieht aber auch Querverweise zu anderen Gruppen und Überwachungsunternehmen: So wurde Wilsons iPhone laut einem Bericht von anderen Sicherheitsforscher:innen 2017 mit dem NSO-Trojaner Pegasus infiziert. Wilson habe zudem Phishing-Mails vom Hacking-Akteur Sidewinder erhalten. Verbindungen gebe es auch zur Operation Hangover, die Ziele in Europa, den USA und Pakistan im Visier hatte. Mit dieser Gruppe teile sich ModifiedElephant Domains.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

Eine Ergänzung

  1. Dank der Staatstrojaner hat man es dann zunehmend schwerer zu unterscheiden was legitime (digitale) Beweise sind und was nicht mehr. Das wird noch für jede Menge Spaß sorgen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.