Indien: Gefälschte Beweise und Hackerangriff – Verbindung zur Polizei gefunden

In Indien hat die Polizei mutmaßlich gefälschte Beweise auf Computern von zwei Aktivisten platziert und diese dann als Grundlage für Festnahmen vorgebracht. Das berichtet das US-Magazin Wired unter Berufung auf Analysen der Computer und Daten eines nicht namentlich genannten Mail-Providers. Im Zuge der Angriffe seien E-Mail-Adressen der beiden und eines weiteren Aktivisten kompromittiert worden. Eine im Zuge dieses Hacks dort hinterlegte Telefonnummer sowie E-Mail-Adresse konnte demnach direkt zur Polizei zurückverfolgt worden.

Der ungenannte E-Mail-Provider hat dem Bericht zufolge ungewöhnlich umfangreich bei der Analyse geholfen, der verantwortliche Sicherheitsanalyst dort sagte: "Die jagen keine Terroristen, sondern Menschenrechtler und die Presse. Das ist nicht richtig." Er habe genug davon, "Sachen in Flammen aufgehen zu sehen". Weitergegeben wurden demnach nicht nur Informationen zu den hinzugefügten Kontaktdaten, sondern auch zu dafür genutzten IP-Adressen.

Gefälschte Datei als Beweismittel vorgebracht

Wie Wired erläutert, geht es in dem Fall um eine Gruppe von Aktivisten und Aktivistinnen, die sich für die Ärmsten und Machtlosesten in Indien einsetzt und nach einem Gewaltausbruch in einem westindischen Ort "Bhima Koregaon 16" genannt hat. Alle 16 wurden festgenommen, aber 2021 hat eine IT-Sicherheitsfirma herausgefunden, dass gegen sie vorgebrachte Beweise gefälscht waren. In einem Fall waren mittels einer Malware Dutzende Dateien auf einen Computer gespeichert worden, darunter ein Word-Dokument mit angeblichen Anschlagsplänen auf Indiens Premier Narendra Modi. Die Datei war mit einer Word-Version erstellt worden, die nie auf dem Computer installiert war. Später hatte die IT-Sicherheitsfirma SentinelOne die Hacking-Angriffe mit deutlich mehr Fällen in Verbindung gebracht, betroffen waren von "ModifiedElephant" Hunderte Personen.

Wired zufolge hat SentinelOne nun noch erschreckendere Einzelheiten nachgelegt und bereits gehegte Befürchtungen bestätigt. Bei drei der kompromittierten Mail-Accounts von Aktivisten aus der Gruppe war demnach eine Telefonnummer beziehungsweise E-Mail-Adresse als Backup hinzugefügt worden. Wären die Passwörter geändert worden, hätten die unbekannten Angreifer damit die Kontrolle zurückerlangen können. Diese Daten haben die Experten nun gleich auf verschiedene Arten mit der Polizeieinheit in Verbindung gebracht, die für die Verhaftungen der drei Personen verantwortlich war. So war die Telefonnummer in geleakten Datenbanken und archivierten Internetseiten mit der Polizei verknüpft. Auf WhatsApp habe das Profilbild dazu einen Polizisten gezeigt, der in Pressemitteilungen bei der Festnahme zu sehen war.

Zweifel an allen staatlichen Hacking-Operationen

Damit gebe es eine "nachweisbare Verbindung zwischen den Personen, die diese Leute verhaftet und jenen, die die Beweise platziert haben", meint der IT-Sicherheitsforscher Juan Andres Guerrero-Saade. Das sei "mehr als ethisch problematisch, mehr als gefühllos". Gemeinsam mit einem Kollegen will er die Beweisführung und die Erkenntnisse bei der IT-Sicherheitskonferenz Black Hat im August vorstellen, schreibt Wired. Ihr Fund erneuere auch Zweifel an jeglichen Beweisen, die von Computern geholt werden, die von Sicherheitsbehörden gehackt wurden. Man müsse darüber diskutieren, ob man Strafverfolgungsbehörden überhaupt solche Malware-Operationen anvertrauen wolle. Die Aktivisten und Aktivistinnen sind derweil mit zwei Ausnahmen weiterhin in Haft, einer von ihnen war im Alter von 84 Jahren im Gefängnis gestorben.

(mho)