ModifiedElephant: Digitale Überwachung und gefälschte Beweise aus einer Hand

Überwachungssoftware auf Handys und PCs ist der feuchte Traum vieler Ermittler. Über 10 Jahre Trojanerpraxis in Indien zeigen die Gefahren der Spionagetechnik.

In Pocket speichern vorlesen Druckansicht 155 Kommentare lesen

(Bild: plantic\Shutterstock.com)

Lesezeit: 3 Min.

Mehr als ein Jahrzehnt platzierten Unbekannte gefälschte Beweise auf den Geräten von Menschenrechtsaktivisten, Journalisten und Akademikern in Indien, erklärt die Sicherheitsfirma Sentinel. Diese Aktivitäten riechen geradezu nach staatlich gesteuerter Manipulation. Nach den Spionagefällen rund um die NSO-Software Pegasus, gibt das den Diskussionen um Staatstrojaner und Online-Durchsuchungen eine neue Dimension.

Sentinel dokumentiert die Aktivitäten einer Gruppe, die sie ModifiedElephant nennt. Deren Aktivitäten reichen mehr als 10 Jahre zurück. Ihre Hauptaufgabe ist die Überwachung ihrer Opfer mit Spionagesoftware für PCs und Smartphones. Die bevorzugten Ziele: Menschenrechtsaktivisten, Journalisten, Akademiker und Juristen in Indien.

Die typische Vorgehensweise ähnelt der von Cybercrime-Banden: Mit gut gemachten Phishing-Mails wird das Opfer dazu gebracht, Office-Dokumente so zu öffnen, dass sie den PC infizieren. Dabei schleusten die Angreifer bevorzugt die Überwachungssoftware Netwire ein. Das ist ein öffentlich verfügbares, sogenanntes Remote Administration Toolkit (RAT), das unter anderem Passwörter ausspioniert und Tastatureingaben aufzeichnen kann.

Damit ist es für Überwachungszwecke bestens geeignet. Doch Netwire kann mehr: Es lässt sich auch zum Fabrizieren von Beweisen nutzen. Und das ist keine theoretische Möglichkeit, sondern wurde von ModifiedElephant ganz gezielt genutzt, um Beweise zu fälschen, die später sogar in Gerichtsverfahren zum Einsatz kamen.

Das dokumentierte etwa die US-amerikanische Forensik-Firma Arsenal Consulting im Rahmen einer forensischen Analyse einer Festplatte des politischen Aktivisten Rona Wilson. Die zeigte unter anderem, dass ein Dokument mit angeblichen Plänen zur Ermordung des indischen Premierministers via Netwire dort platziert wurde. Dieses Dokument wurde im Prozess gegen Wilson als Beweismittel präsentiert.

Sentinel spricht von hunderten Gruppen und Individuen, die ModifiedElephant im Laufe der Jahre ins Visier genommen hat. Dabei sind die Aktivitäten anscheinend hauptsächlich auf Indien fokussiert. Mit Aussagen, wer hinter ModifiedElephant steckt, hält sich die Sicherheitsfirma zwar zurück, weil die eingesetzten Tools frei verfügbar sind und von mehreren Gruppen eingesetzt werden. Doch am Ende der Analyse wird Sentinel doch recht deutlich:

"Nach unseren Beobachtungen orientieren sich die Aktivitäten von ModifiedElephant sehr stark an den staatlichen Interessen von Indien. Außerdem gibt es eine beobachtbare Korrelation zwischen ModifiedElephants Angriffen und der Verhaftung von Personen in kontroversen, politisch aufgeladenen Fällen."

Viel deutlicher kann man kaum sagen, dass hier Staatstrojaner zur Verfolgung von politischen Gegnern eingesetzt werden, ohne das explizit auszusprechen.

Sicherheitsexperten warnen schon lange, dass Staatstrojaner nicht nur einen Eingriff in die Privatsphäre der Überwachten darstellen. Die von den Trojanern gelieferten, angeblichen Beweise sind mehr als problematisch. Denn die Trojaner könnten sie prinzipiell auch selbst dort platziert haben. Bislang wurde das häufig als paranoide Spinnerei abgetan. Die Fälle in Indien hingegen belegen, dass das längst Realität ist.

(ju)