Citizenlab analysiert Malware-Angriffe auf Aktivistengruppen aus Hong Kong und Tibet

Stehen im Fokus von Malware-Angriffen: Tibetische Freiheitsaktivisten – CC BY 2.0 via wikimedia/Rédacteur Tibet

Citizenlab hat einen Bericht veröffentlicht, in dem Angriffe aus dem April und Mai 2015 auf politisch unerwünschte Gruppen aus Tibet und Hong Kong analysiert werden. Die gezielten Infektionen von Rechnern der Gruppen erfolgten mittels per Google Drive verbreiteter Power-Point-Präsentationen, die Inhalte aus dem Interessensbereich der Attackierten enthielten – etwa über Meinungsfreiheit, Treffen des Dalai Lama oder die Unabhängigkeit Tibets.

Die Angreifer müssen die Strukturen der Gruppen gekannt haben, da aufgrund früherer Angriffe Aufklärungsarbeit gegen das unbedarfte Öffnen von Mailanhängen geleistet wurde, die das Verbreiten von Malware über diesen Weg erschwerte. Die Nutzung von Google Drive ist eine Anpassung an den Verhaltenswechsel innerhalb der Gruppen.

Grundlage für die Angriffe ist eine Sicherheitslücke, die seit Oktober 2014 bekannt ist und mit der Code im Hintergrund ausgeführt werden kann. Im vorliegenden Fall durch eine vermeintliche .gif-Datei, die in der Realität eine ausführbare .exe ist. Noch dazu wurden die Zertifikate der Programmdatei gefälscht. Eines kam angeblich von Microsoft, ein anderes von F-Secure.

Was die Angriffe gefährlich macht: Der Nutzer merkt nichts, etwa durch Programmabstürze oder anormales Verhalten des Systems, auch Virenscanner haben nur in den seltensten Fällen Alarm gemeldet. Von wem der Angriff stammt, ist unklar. Es ist aber davon auszugehen, da er dem Ausspionieren der Gruppen und nicht finanziellem Vorteil galt, dass die Akteure aus politischem Interesse gehandelt haben.

Es ist keineswegs ein Einzelfall, dass NGOs und politische Gruppen angegriffen werden. Citizenlab hat schon zahlreiche Angriffe zuvor aufgedeckt und ausgewertet, so etwa Chinas „Great Cannon“ und einen Trojaner, der sich gegen äthiopische, kritische Journalisten richtete. Für einen Gesamtüberblick hat Citizenlab einen Bericht veröffentlicht, der beschreibt, wie zivilgesellschaftliche Organisationen digital angegriffen werden.

4 Ergänzungen

  1. Ich lese aus eurem „Bericht“ aber nicht heraus, das ihr mit dem cnetz gesprochen habt und eine aktuelle Stellungnahme von denen habt. Ihr bezieht euch als Quelle nur auf die Rede von Thomas Jarzombek aus den Bundestag, oder?
    Wäre es nicht eher hilfreich beim cnetz mal nach einer Stellungnahme oder einem Interview zu fragen um Informationen aus erster Hand zu bekommen?
    Eine Rede im Bundestag ist doch meiner Meinung nach keine Pressekonferenz des cnetz.
    Soviel Zeit bleibt aber für Recherche anscheinend nicht. Schade.

  2. „Noch dazu wurden die Zertifikate der Programmdatei gefälscht. Eines kam angeblich von Microsoft, ein anderes von F-Secure.“

    Interessant, oder?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.