Trojaner : Cyberspionage und gefälschte Beweise: Das Fallbeispiel „ModifiedElephant“

Langjährige ethnisch und politisch bedingte Spannungen in Indien entluden sich am 1. Januar 2018, als Regierungskritiker:innen mit Regierungsanhänger:innen in der Nähe von Bhima Koregaon im Bundestaat Maharashtra zusammenstießen. Das Ereignis mündete in anschließenden großangelegten Protesten, die zu weiterer Gewalt und mindestens einem Todesfall führten. Am 17. April 2018 führte die Polizei Razzien durch und verhaftete eine Reihe von Personen unter dem Vorwurf des Terrorismus. Die verhaftenden Behörden identifizierten belastende Dateien auf den Computersystemen der Beschuldigten, darunter Pläne für ein angebliches Attentat auf Premierminister Modi.

Im Zuge digitaler forensischer Untersuchungen stellte sich jedoch heraus, dass eine vorherige Kompromittierung der Systeme der Angeklagten zum Einschleusen der Dateien führte, welche später als Beweis für Terrorismus und als Rechtfertigung für die Inhaftierung der Angeklagten verwendet wurden. Die fraglichen Computerübergriffe waren keine Einzelfälle: Unsere Sicherheitsexpert:innen haben Nachforschungen bezüglich der Verhaftungen von Bhima Koregaon betrieben. Das Ergebnis: Seit etwa einem Jahrzehnt finden anhaltende Cyberangriffe und -Manipulationen auf bestimmte Ziele in Indien statt, die von einem bisher unbekannten Bedrohungsakteur ausgehen, den wir nun unter dem Namen „ModifiedElephant" beobachtet haben.

Einschleusung von „Beweisen“ durch Remote Access-Trojaner

Die am häufigsten von dieser Gruppierung eingesetzte Malware ist technisch gesehen unkompliziert, ja geradezu banal. Dennoch hat sie sich als ausreichend für ihre Ziele erwiesen: Fernzugriff und uneingeschränkte Kontrolle über die Computer der Opfer. Die primären Malware-Familien, die eingesetzt wurden, waren die Remote Access-Trojaner NetWire und DarkComet, die via Phishing-Mails auf die Geräte der Zielpersonen geschleust wurden. Diese beiden Trojaner sind im Internet frei verfügbar und werden seit langem von Cyberkriminellen diverser Herkunft genutzt – von gewöhnlichen Kleinkriminellen bis hin zu staatlichen Bedrohungsakteuren.

Das Ziel von ModifiedElephant ist in erster Linie die langfristige Überwachung von Gruppen und Einzelpersonen, die potenziell zum Problem für die indische Regierung werden könnten. Hierbei handelt es sich beispielsweise um Personen, die in die Situation rund um Bhima Koregaon involviert waren. Hinzu kommen diverse andere Ziele – in unseren Nachforschungen konnten wir Hunderte von Betroffenen identifizieren: von Aktivist:innen, Menschenrechtsanwält:innen, Journalist:innen und bis hin zu Wissenschaftler:innen. In einigen Fällen endet die Überwachung in einer Weise ähnlich der eingangs beschriebenen Situation – gefälschte und auf Computern der Ziele platzierte „Beweise“ führten infolge koordinierter Polizeizugriffe zu einer Inhaftierung.

Aufgrund der erfolgreichen bisherigen Aktivitäten der Gruppe ist davon auszugehen, dass sie diese Technik des Einschleusens von Beweisen auf Computer ihrer Opfer weiterentwickeln und auch auf andere Ziele ausweiten wird. Es würde nicht überraschen, wenn die Taktiken auch gegen ausländische Ziele eingesetzt würden, die ModifiedElephant in irgendeiner Weise diskreditieren oder manipulieren möchte.

Beweisfälschung und Überwachung von Regierungskritikern kommt in Mode

Die in Indien agierende Gruppe ModifiedElephant kann als Paradebeispiel für eine Art von Bedrohungsakteur angesehen werden, die mit an Sicherheit grenzender Wahrscheinlichkeit in vergleichbarer Form auch in anderen Gebieten existiert. In der Türkei haben unsere Sicherheitsforscher:innen eine sehr ähnliche Gruppierung mit dem Namen „EGoManiac“ identifiziert. Wir sind fest davon überzeugt, dass derartige Aktivitäten in weiteren Ländern ebenfalls an der Tagesordnung sind – sie wurden bis jetzt lediglich noch nicht aufgedeckt.

Cybergruppen wie die genannten sind besonders bedrohlich für die Gesellschaft, weil sie echte, reale menschliche Kosten in der Bevölkerung verursachen. Die Opfer von Bhima Koregaon verweilen nach wie vor im Gefängnis. Eine der Personen ist vor kurzem verstorben, und die Namen weiterer Inhaftierter sind bis heute noch nicht an die Öffentlichkeit gelangt. Cyberbedrohungsakteure dieser Art sind bereit und in der Lage dazu, über die Grenzen der digitalen Welt hinauszugehen, um ihre Ziele zu erreichen.

Der Fall Bhima Koregaon gewährt einen aufschlussreichen Einblick in die Welt von Bedrohungsakteuren, die nicht davor zurückschrecken, viel Zeit und Ressourcen in die Bekämpfung von Personen und Gruppen mit entgegengesetzten Ansichten zu investieren. Unsere Forschung zu ModifiedElephant hat einen Blick auf eine kleine Teilmenge der Gesamtliste potenzieller Opfer, die Techniken der Angreifer und ihre Ziele geworfen. Es bleiben viele Fragen zu dieser Cybergruppe und ihren Operationen offen. Eines ist jedoch klar: Kritiker autoritärer Regierungen auf der ganzen Welt müssen die technischen Möglichkeiten ihrer Unterdrücker genau kennen, um nicht bald selbst zum Opfer von Spionage, Überwachung und Schlimmerem zu werden.

Migo Kedem ist VP of Growth bei SentinelOne und Leiter der Forschungsabteilung von SentinelOne: SentinelLabs. Die Forscher von SentinelLabs widmen sich der Erforschung gefährlicher Bedrohungsakteure und kritischer Schwachstellen, um ein besseres Verständnis über die Techniken von Angreifern zu erlangen und das Internet sicherer zu machen.