Wie eine in dieser Woche veröffentlichte Studie der Cybersecurity-Firma Sentinel One zeigt, nimmt eine Hackergruppe, die die Sicherheitsforschenden „Modifiedelephant“ nennen, seit mindestens einem Jahrzehnt Menschen in ganz Indien ins Visier. Das erfolgt häufig mit dem Ziel, gefälschte Beweise für kriminelle Aktivitäten auf deren Geräten zu platzieren. Diese gefälschten Beweise dienen dann als Vorwand für die Verhaftung der Opfer. Vor allem „Menschenrechtsaktivisten, Menschenrechtsverteidiger, Akademiker und Anwälte“ seien von den Attacken betroffen, so die Studie.

Dabei geht es den Kriminellen, die mutmaßlich eine Staatsverbindung haben, in vorderster Linie um Spionage. Erst in einem zweiten Schritt, wohl bei als besonders gefährlich identifizierten Aktivisten, greifen die Hacker zum Mittel der gefälschten Beweise, um ihren Zielpersonen Verbrechen anzuhängen. Die Forschenden schreiben:

Das Ziel von ModifiedElephant ist eine langfristige Überwachung, die manchmal mit der Übergabe von „Beweisen” endet – Dateien, die die Zielperson der Begehung bestimmter Verbrechen belasten – bevor es zu koordinierten Verhaftungen kommt.

Der prominenteste Fall, in den die Gruppe verwickelt sein soll, betrifft den Aktivisten Rona Wilson und seine Mitstreiter, die 2018 von indischen Sicherheitsdiensten verhaftet und beschuldigt wurden, einen Umsturz der Regierung geplant zu haben. Die Washington Post hatte berichtet.

Beweise für das angebliche Komplott – darunter ein Word-Dokument mit Plänen zur Ermordung des indischen Premierministers Narendra Modi – wurden auf Wilsons Laptop gefunden. Eine spätere forensische Analyse des Geräts ergab jedoch, dass die Dokumente in Wirklichkeit gefälscht und mithilfe von Malware künstlich eingeschleust worden waren. Den Sentinel-Forschenden zufolge wurden sie von Elephant dort platziert.

Das hatte auch eine Untersuchung des besagten Laptops von einem in Boston ansässigen Unternehmen für digitale Forensik, Arsenal Consulting, ergeben. In einem Bericht erläuterte das Unternehmen, wie die Angreifer vorgegangen waren:

Arsenal hat denselben Angreifer mit einer umfangreichen Malware-Infrastruktur in Verbindung gebracht, die über einen Zeitraum von etwa vier Jahren eingesetzt wurde, um nicht nur den Computer von Rona Wilson 22 Monate lang anzugreifen und zu kompromittieren, sondern auch seine Mitangeklagten und Angeklagte in anderen hochkarätigen indischen Fällen anzugreifen.

Laut dem Bericht von Sentinel One nutzt Elephant gängige Hacking-Tools und -Techniken für den Zugriff auf die Geräte ihrer Opfer. Phishing-E-Mails, die in der Regel auf die Interessen des Opfers zugeschnitten sind, enthalten bösartige Dokumente, die handelsübliche Fernzugriffstools (RATs) – vor allem Darkcomet und Netwire – auf den Geräten installieren. Sobald ein Opfer erfolgreich gephisht und die Malware der Hacker heruntergeladen wurde, können die Angreifer unbemerkt Überwachungen durchführen oder, wie in Wilsons Fall, gefälschte, belastende Dokumente verteilen, schreiben die Forschenden.

Unklar bleibt, wer sich tatsächlich hinter „Modifiedelephant“ verbirgt. Offensichtlich sei jedoch, dass die Gruppe die „Interessen“ der indischen Regierung im Auge habe, resümieren die Sicherheitsexperten:

Wir stellen fest, dass die Aktivitäten von ModifiedElephant stark mit den Interessen des indischen Staates übereinstimmen und dass es eine erkennbare Korrelation zwischen den Angriffen von ModifiedElephant und den Verhaftungen von Personen in kontroversen, politisch brisanten Fällen gibt.

Gruppen wie ModifiedElephant gibt es auch in anderen Ländern. Eine von ihnen soll ähnliche Operationen gegen Baris Pehlivan durchgeführt haben, einen türkischen Journalisten, der 2016 für 19 Monate inhaftiert wurde, nachdem die türkische Regierung ihn des Terrorismus beschuldigt hatte. Digitale Forensik ergab später, dass die Dokumente, die zu Pehlivans Inhaftierung geführt hatten, künstlich implantiert worden waren – ähnlich wie die auf Wilsons Laptop.

Sentinel One warnt: „Kritiker autoritärer Regierungen auf der ganzen Welt müssen die technischen Möglichkeiten derer, die sie zum Schweigen bringen wollen, genau verstehen.“