Mustang Panda: Indonesischer Geheimdienst gehackt, Spuren führen nach China

Eine offenbar staatlich unterstütze Gruppe von Cyberangreifern soll die Intranets von mindestens zehn indonesischen Ministerien und Behörden mit Schadsoftware unterwandert und so kompromittiert haben. Darunter befinden sich auch die internen Netzwerke von Indonesiens wichtigstem Geheimdienst, dem Badan Intelijen Negara (BIN), berichtet The Record unter Verweis auf die hinter dem Online-Portal stehenden IT-Sicherheitsexperten der Insikt Group.

Die Forscher bringen den massiven Hack mit den Cybersöldnern der Einheit Mustang Panda in Verbindung, die bislang laut dem Malpedia-Lexikon des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) vor allem zivilgesellschaftliche Organisationen etwa in der Mongolei, anderen südostasiatischen Region und den USA ausspioniert haben sollen. Typisch für die Truppe, der Verbindungen zur chinesischen Regierung nachgesagt werden, ist demnach etwa der Einsatz der Malwarefamilie PlugX.

Einschleusungspunkt und die Übertragungsmethode noch unbekannt

Dabei handelt es sich um einen Trojaner für den Fernzugriff auf fremde Rechner, der als Backdoor eingesetzt wird. Darüber lässt sich die Maschine eines Opfer vollständig kontrollieren inklusive der Aufzeichnung von Tastatureingaben und Bildschirmaufnahmen.

Die Insikt-Experten sind auf die damals laufende Operation erstmals im April aufmerksam geworden, als sie einschlägige Kommandozentralen in Form von "Command-and-Control"-Servern (C&C) auf Basis von PlugX entdeckten. Diese hat dem Bericht nach die Mustang-Panda-Gruppe betrieben und darüber mit Hosts innerhalb der Netzwerke der indonesischen Regierung kommuniziert. Entsprechende Verbindungen wollen die Forscher später bis mindestens März 2021 zurückverfolgt haben. Der Einschleusungspunkt und die Übertragungsmethode der Malware sind noch unbekannt.

Trojanisches Pferd

Die Sicherheitsforscher meldeten den indonesischen Behörden ihre Erkenntnisse über die Eindringlinge nach eigenen Angaben im Juni sowie ein zweites Mal im Juli. Eine Reaktion darauf erhielten sie nicht. Der BIN antwortete auch nicht auf Anfragen von The Record in den vergangenen beiden Monaten. Trotzdem sollen indonesische Ermittler laut einem Insider den Fall untersucht und Schritte unternommen haben, um die infizierten IT-Systeme zu identifizieren und zu reinigen. Insikt zufolge kommunizierten Server in indonesischen Regierungsnetzwerken jüngst aber noch immer mit C&C-Rechnern von Mustang Panda.

Die Meldung über die weitgehende Cyberspionage kommt zu einen Zeitpunkt, an dem China und Indonesien nach längeren Rangeleien wieder engere diplomatische Beziehungen aufgenommen haben. Vor einigen Jahren wäre es zwischen beiden Staaten fast zu einem bewaffneten Konflikt gekommen. Als Auslöser für den Zwist galten vor allem Territorialstreitigkeiten im Südchinesischen Meer.

In den vergangenen zwei Jahren hat China allerdings als zweitgrößter Investor in Indonesien dortige regionale Regierungsstellen umgarnt, um den Absatz von Waren anzukurbeln und die Umsetzung der "Neuen Seidenstraße" voranzutreiben, einer außenpolitischen Initiative für dauerhafte politische Beziehungen und Handelsabkommen. Vor allem im Westen wird diese Kampagne als trojanisches Pferd zum Unterwandern der angeschlossenen nationalen Volkswirtschaften betrachtetet. Zudem haben seit dem Start der Initiative 2013 Cyberspionage-Einheiten bereits mehrere Länder ins Visier genommen, die den entsprechenden Pakt mit dem Reich der Mitte eingehen wollten.

(bme)