Die Lage in Tibet ist schon lange angespannt und macht auch vor der digitalen Welt nicht Halt. ESET Forscher haben im Januar eine neue Cyberspionage-Kampagne entdeckt, die seit mindestens September 2023 Tibeter ausspionierte und Verbindungen nach China aufweist. Über eine sogenannte Watering-Hole-Attacke verteilte die Hackergruppe Evasive Panda Schadsoftware an zahlreiche tibetisch sprechende Menschen in mehreren Ländern. Dazu gehörten neben Indien auch Taiwan, Australien und die USA. Besonders hinterhältig: Die Cyberkriminellen nutzten das zu der Zeit anstehende buddhistische Mönlam-Fest als Multiplikator für ihre Spionagekampagne. Das Mönlam-Fest ist eines der wichtigsten religiösen Ereignisse des tibetischen Buddhismus und reicht bis ins 15. Jahrhundert zurück.
„Die Hackergruppe Evasive Panda und ihr Vorgehen sind uns schon länger bekannt. Allerdings sehen wir auch, dass die Gruppe ihre Methoden weiterentwickelt und verbessert“, erklärt ESET Forscher Anh Ho, der den Angriff entdeckte. „Die aktuelle Kampagne zeigt vor allem, wie raffiniert Cyberkriminelle vorgehen, um ihre Ziele zu erreichen.“
Angriff über kompromittierte Websites und digitale Lieferkette
Evasive Panda kam über eine Watering-Hole-Attacke auf die Systeme ihrer Opfer. Bei solchen Angriffen wird ein legitimer Dienst wie z. B. eine Webseite mit Schadcode verseucht. Nutzer, die die Seite besuchen, infizieren ihr System beim Besuch der Seite mit Malware. Im aktuellen Fall kompromittierte die Hackergruppe im September 2023 die Seite einer religiösen Organisation in Indien, die den tibetischen Buddhismus international fördert: Kagyu International Monlam Trust. Das jährlich im Januar startende Mönlam-Fest in Bodhgaya, Indien, zieht jedes Jahr großes Interesse auf sich, national wie international. Dies nutzten die Hacker für ihre Kampagne aus und kompromittierten die Seite der Organisation mit schadhafter Software, u. a. mit der Backdoor MgBot und einer bis dato unbekannten Backdoor für Windows, der die ESET Forscher den Namen „Nightdoor“ gegeben haben.
Mit Nightdoor konnten die Hacker sensible Informationen ihrer Opfer auslesen, dazu gehörten Computer-Name, Nutzername, MAC- und IP-Adressen.
Die Hacker gingen im gleichen Zeitraum auf ähnliche Weise beim Web-Auftritt eines indischen Software-Entwicklers vor, der Übersetzungssoftware für Tibetisch programmiert. Hier infizierten sie die Webseite des Unternehmens mit zahlreichen trojanisierten Anwendungen. Arglose Nutzer, die die Übersetzer herunterladen wollten, installierten sich bösartige Downloader auf ihren Windows- und macOS-Geräten, die weitere Schadprogramme hinterherluden.
Die Gruppe verwaltete alle Daten, die sie bei diesen Angriffen erbeuten konnte, auf den Seiten von Kagyupa International Monlam Trust und der Tibetpost, einer tibetischen Nachrichtenseite.
US-amerikanische Universität im Visier
Neben Menschen in Indien und anderen asiatischen Ländern gehörten auch Mitarbeiter einer US-amerikanischen Universität, dem Georgia Institute of Technology, zu den Opfern von Evasive Panda. Die Universität stand schon früher im Spannungsfeld zwischen dem Westen und China. Ein Forscher der Georgia Tech wurde beispielsweise in China inhaftiert, um die Herausgabe seiner Forschungsergebnisse zu erzwingen.
Wer sind die Pandas?
Evasive Panda (auch bekannt als BRONZE HIGHLAND oder Daggerfly) ist eine Advanced Persistent Threat (APT)-Gruppe, die seit mindestens 2012 aktiv ist und Verbindungen nach China hat. Wie aus Beobachtungen von ESET hervorgeht, führt die Gruppe vor allem Cyberspionage gegen Einzelpersonen auf dem chinesischen Festland, in den Sonderveraltungszonen Hongkong und in Macao sowie Nigeria durch. Darüber hinaus nimmt sie Unternehmen und staatliche Einrichtungen in südost- und ostasiatischen Ländern ins Visier, insbesondere in China, auf den Philippinen, in Taiwan und Vietnam.
Das Vorgehen wie im aktuellen Fall ist typisch für die Hackergruppe: In den vergangenen zwei Jahren wurden die beiden Backdoors MgBot und Nightdoor bei einem Angriff auf eine religiöse Organisation in Taiwan eingesetzt, bei dem sie auch denselben C&C-Server benutzten.
Die Gruppe verwendet ein eigenes, maßgeschneidertes Malware-Framework mit einer modularen Architektur. Hierdurch ist ihre Backdoor MgBot in der Lage, Module zu erhalten, um Opfer der Gruppe auszuspionieren und sich anzupassen. Evasive Panda kann, wie aus Analysen von ESET hervorgeht, seine Backdoors über Adversary-in-the-Middle (AitM)-Angriffe per kompromittierter Software-Updates auf Zielsystemen installieren.
Weitere technische Informationen über die jüngste bösartige Kampagne der Gruppe Evasive Panda finden Sie im Blogpost „Evasive Panda leverages Monlam Festival to target Tibetans“ auf WeLiveSecurity.com.