Dass Cyberkriminelle, aber auch von Nationalstaaten organisierte Hacker sensible Informationen von Rechnern klauen, weiß mittlerweile so gut wie jeder. Dass die hochprofessionell agierenden Gruppen aber auch gezielt Dateien hinterlassen, die zu einem späteren Zeitpunkt gefunden werden sollen, ist hingegen weniger bekannt. Eine Hackergruppe, die zumindest zehn Jahre lang im Verborgenen agierte, machte allerdings genau das.

Gefälschte Beweise für Verhaftung

Wie das Forscherteam des Sicherheitsanbieters Sentinel Labs herausgefunden hat, spionierte die auf den Namen "ModifiedElephant" getaufte Gruppe vornehmlich in Indien nicht nur Einzelpersonen und Organisationen aus, sondern platzierte auch gezielt gefälschte Beweise für kriminelle Handlungen und terroristische Aktivitäten auf deren Computern.

In organisierten Razzien bei Betroffenen fanden die Ermittler dann das gefälschte belastende Beweismaterial und somit einen Grund, diese vor Gericht zu stellen oder einzusperren. Den Sicherheitsforschern zufolge hat die Gruppe vor allem Aktivisten und Anwälte aus dem Menschenrechtsbereich, aber auch Wissenschaftlerinnen und Journalisten gezielt attackiert.

Regierungen unter Verdacht

Als prominentes Beispiel gilt der maoistische Aktivist Rona Wilson, der nicht zuletzt aufgrund angeblicher Beweise für einen geplanten Umsturz der indischen Regierung verhaftet wurde. Die forensische Untersuchung ergab später, dass die gefundenen Dateien von Hackern dort platziert wurden. Vielmehr noch dürfte Wilson bereits Jahre vor seinem Arrest über gezielt eingesetzte Phishing-Trojaner ausgespäht worden sein.

Sentinel Labs zufolge kann nicht mit Sicherheit nachgewiesen werden, wer als Auftragsgeber für "ModifiedElephant" fungiert. Auffallend sei allerdings, dass die Cyberattacken zeitlich sehr nahe zu etwaigen Razzien bei Regierungsgegnern stattfanden bzw. die gefundenen falschen Beweise den politisch Verantwortlichen entgegenkamen, um sich unliebsamen Kritikern über eine Verhaftung zu entledigen.

Ähnliche Vorgangsweise in der Türkei

Die aufgedeckte Vorgangsweise erinnert laut den Sicherheitsforschern an eine ähnliche Hackergruppe namens "EGoManiac", die in der Türkei ähnlich vorgegangen ist. Dem Bericht zufolge sollen sie angebliches Beweismaterial auf Geräten von Journalisten platziert haben, das später eine Verhaftung rechtfertigte. Auch in diesem Fall handelte es sich um regierungskritische Personen. (Martin Stepanek, 13.2.2022)