Hacker hatten einen Yahoo-Account mit den Daten des Mönchs eröffnet und in seinem Namen Schadprogramme an andere tibetische Aktivisten verschickt. Die öffneten den Anhang der Mail des Bekannten arglos. Dann dauerte es nicht mehr lange. Nach wenigen Einbrüchen durch den falschen Mönch waren so viele PCs infiziert, dass sich der Wurm viral auf allen Rechnern der Widerstandsbewegung ausbreiten konnte. Deren einzelnen Gruppen sind nicht besonders groß und dazu noch eng miteinander vernetzt. Ein einzelner Name reichte aus, um den Hackern die Türe in das gesamte Netzwerk der Aktivisten zu öffnen.
In der Wirtschaft würde ein solcher Angriff nicht so schnell passieren.
„In der Wirtschaft würde so etwas nicht so schnell passieren“, erklärt Seth Hardy vom Citizen Lab an der Universität von Toronto, einer Organisation für digitale Menschenrechte. Der Programmierer wechselte vor vier Jahren aus der freien Wirtschaft dorthin. Seitdem hilft er als Experte bei der Verteidigung von Systemen, die sich sonst nicht verteidigen könnten.
„Große Unternehmen haben unheimlich viel Expertise und teure Systeme, mit denen sie sich gegen Hackerangriffe verteidigen können. Bei Aktivisten und NGOs ist diese Abwehr nicht vorhanden“, sagt Hardy. Seit er beim Citizen Lab arbeitet, begleitet er zahlreiche Nichtregierungsorganisationen, kurz NGOs, unter anderem das Tibet Action Institute, das auch zur Widerstandsbewegung gehört.
Hardy will herausfinden, wie hoch die Zahl und die Qualität von Hacker-Angriffen auf solche Organisationen ist. Die Ergebnisse seiner Arbeit veröffentlichte das Citizen Lab nun im Report „Communities @ Risk: Targeted Digital Threats Against Civil Society“. Gelinde ausgedrückt: Sie sind entmutigend.
Die Angreifer arbeiten auf einem niedrigen 'Rüstungslevel'.
Laut dem Report ist die Zahl der Attacken extrem hoch. Über vier Jahre hinweg analysierten die Studienautoren Angriffe auf zehn NGOs. Aus ihren Ergebnissen lassen sich zwei Trends ablesen. Zum einen arbeiten die Angreifer auf einem sehr niedrigen „Rüstungslevel“. Das heißt, sie greifen ihre Opfer nur in seltenen Fällen mit aufwändigen Schadtprogrammen an. Professionelle Spy-Software wie das zum Teil in Deutschland hergestellte Finfisher würden nur selten benutzt. Stattdessen nutzen Angreifer, wie auch im Fall des Mönchs, die Schwächen der NGOs aus: finanzielle- und personelle Unterbesetzung sowie ein Mangel an Expertise zu Themen wie Cybersecurity.
„Während sich Angreifer in der Industrie vor allem auf Sicherheitslücken von Systemen spezialisieren, sind es bei NGOs die Menschen selbst“, sagt Hardy. Vor einem Angriff werden einzelne Aktivisten beobachtet, ihre sozialen Netzwerke ausfindig gemacht, ihre Gewohnheiten katalogisiert. Dann schlagen die Angreifer gezielt und mit minimalem Aufwand zu. Während der gesamten Studienzeit registrierten Hardy und sein Team 22 unterschiedliche Exploits, nur einer von ihnen war ein sogenannter Zero-Day-Exploit, also ein Programm, das speziell für eine bisher unbekannte Sicherheitslücke programmiert wurde.
Software aus Angriffen auf kleine NGOs taucht später oft bei größer angelegten Attacken auf.
Kommt doch einmal aufwändigere Software zum Einsatz, so der Bericht, benutzen Hacker die NGOs als Test-Zielscheibe. „Oft fanden wir bei Angriffen Software, die später in Verbindung mit großangelegten Attacken auf Staaten und Unternehmen wieder auftauchte“, sagt Hardy.
Einmal gab es zum Beispiel auffällige Ähnlichkeiten zwischen einem Fund der Studie und einem Programm, das später von der berüchtigten chinesischen Cybereinheit 61398 erneut eingesetzt wurde. Weil aber immer nur Bestandteile des ursprünglichen Codes gefunden wurden, ließ sich ein endgültiger Zusammenhang nicht beweisen. „Es ist klar, dass hinter den meisten Angriffen staatliche Interessen stehen und vor allem politische NGOs als Ziele ausgewählt werden“, sagt Hardy.
Dass es sich um gewöhnliche kriminelle Angriffe handelt, die sowohl Unternehmen, als auch Privatleute und Organisationen betreffen können, sei deswegen unwahrscheinlich. Das Citizen Lab habe solche Massenangriffe bei seinem Report systematisch ausgeschlossen.
Die tibetischen Aktivisten haben mittlerweile auf die Hacker-Angriffe reagiert. Sie organisieren Lehrveranstaltungen mit Namen wie „Be your own Anti-Virus“ oder „You can be a Cyberhero“, und auch der betroffene Mönch wurde inzwischen informiert. Wenn er in Zukunft E-Mails mit Anhang verschickt, werden seine Freunde wohl erst einmal bei ihm anrufen, bevor sie sie öffnen.
