Chinas trojanischer Krieg gegen Tibet

Nach der Niederwalzung des Aufstands in Tibet ist nun der "Volkskrieg" auf "Sicherheits- wie Propagandaebene" im Gange. Foren, Mailing-Lists und Websites von Exil-Tibetern und Menschenrechtsgruppen werden in immer neuen Wellen mit raffiniert gestalteter Schadsoftware angegriffen.

Die schnelle Niederschlagung des Volksaufstands in Tibet durch Chinas Militär war keineswegs die erste kriegerische Handlung in diesem ethnisch-politisch-religiösen Konflikt.

Der erste Angriff kam nicht etwa von randalierenden Tibetern auf chinesische Geschäftsleute, wie es Chinas Staatsfernsehen glauben machen will. Die erste Angriffswelle richtete sich gegen Exil-Tibeter, und durchgeführt wurde sie via Internet.

Am Anfang stand der "Cyber-War"

Bereits Ende Jänner 2008 meldeten der Anti-Viren-Hersteller Trendmicro, dass eine neue Welle "gezielter Attacken" mit "sogenannten Zero Day Exploits" entdeckt wurde.

Diese Angriffsform ist zwar seit Jahren bekannt, aber relativ schlecht dokumentiert, denn anders als die gemeinen Phisher/Spammer-Attacken fallen diese Angreifer in den Internet-Statistiken nicht auf.

Gezielte Attacken

"Targeted Attacks" werden in der Regel zwar über Mail-Attachments durchgeführt, die allerdings keinen Allerweltstrojaner enthalten, sondern eine bis dahin unbekannte Schadsoftware, die eine bis dahin noch nicht veröffentliche Sicherheitslücke ausnützt.

Deshalb wird diese Art von professionellen Schadprogrammen auch "Zero Day Exploits" oder "Less Than Zero Day Exploits" genannt. Da sie noch unbekannt sind, fliegen sie unter dem Radar der Virenscanner durch.

Der Wettbewerb

Das hat freilich seinen Preis, denn dazu braucht es ein Team von "Forschern", die ständig nach den neuesten Sicherheitslücken Ausschau halten.

Da auch die Zahl der Windows-Sicherheitslücken begrenzt ist, stehen die Schreiber von "Zero Day Exploits" naturgemäß in permanentem Wettbewerb mit den Anti-Viren-Herstellern.

Die neue Welle

Ende der abgelaufenen Woche meldete F-Secure, dass eine neue, größere Angriffswelle auf Foren, Mailing-Listen und Einzelpersonen aus demselben Personenkreis beobachtet werde.

Auch von Spam-Filtern bleiben diese E-Mails zumeist unbehelligt, da sie nicht massenhaft, sondern ganz gezielt an genau definierte Gruppen verschickt werden.

Während es sich bei den Attachments, die in den Anti-Virus-Labs von Trendmicro analysiert wurden, um Microsoft-Word-Dateien handelte, war es in der letzten Woche eine bunte Mischung aus PowerPoint-, Excel-, PDF-, aber auch EXE- und den wenig als potenziell gefährlich bekannten CHM-Dateien.

Der "Volkskrieg"

Anfang der Woche hatte Tibets Provinzregierung laut mehreren Agenturberichten offiziell den "Volkskrieg" gegen die "Dalai-Lama-Clique" ausgerufen, berichteten die von Peking kontrollierten Medien.

Der "Volkskrieg" werde sowohl "auf der Sicherheits- wie auf der Propagandaebene" geführt, hieß es offiziell.

Professionelle Arbeit

Die Dokumententitel beider Angriffswellen sind einander zum Verwechseln ähnlich: "Free Tibet Olympics Protest on Mount Everest", "CHINA'S OLYMPIC TORCH OUT OF TIBET 1,doc", "2007-07 DRAFT Tibetan MP London schedule.doc", "DIRECTORY OF TIBET SUPPORT GROUPS IN INDIA.doc", "Disapppeared in Tibet.doc".

Die Titel entsprechen nicht nur tatsächlich erfolgten Pressemeldungen oder Aussendungen, auch die E-Mails selbst sind in puncto "Social Engineering", also von der Überzeugungskraft her, professionell gemacht. Die Texte sind genau im Stil der angegriffenen Gruppe gehalten, die Inhalte der Dokumente ebenfalls.

Office-Dokumente

Bis auf ein kurzes Ruckeln der Office-Applikation beim Öffnen des Dokuments ist nichts davon zu bemerken, dass sich gerade ein Trojaner eingenistet hat.

Die gängigste Angriffsform sind Word-, Excel-, PowerPoint- und PDF-Dateianhänge, die wiederum vom Absender über Betreff und Anrede bis hin zum Text auf die betreffende Gruppe zugeschnitten sind. Die Absender der E-Mails sind ebenso professionell gefälscht wie alles andere.

Deutsche Ministerien

Allein bei Excel fanden sich im Lauf des Jahres 2007 17 neue Sicherheitslücken, von denen einige nachweislich für derartige Angriffe mit "Zero Day Exploits" genutzt wurden.

Vor ihrem Besuch in der Volksrepublik China 2007 hatte sich die deutsche Bundeskanzlerin Angela Merkel öffentlich über gezielte Trojaner-Attacken aus China auf bundesdeutsche Ministerien beschwert.

In allen Fällen ging es weniger um politische Spionage, die Angreifer suchten vielmehr nach Informationen, die wirtschaftlich verwertbar waren.

• Targeted Attacks: Fallbeispiel Falun Gong

• 27.08.2007 China dementiert Spionagevorwürfe

• Trendmicro-Report Anfang Jänner

• 04.09.2007 Chinas Militär hackte Pentagon-Rechner

• Die aktuelle Analyse von F-Secure

• 25.08.2007 Trojaner auf Regierungscomputern

"Network Centric Warfare"

China ist längst nicht der einzige Staat, der eine solche Art von Kriegsführung in seine Militärdoktrin aufgenommen hat.

Die US-Armee folgt seit gut zehn Jahren der Doktrin vom "Network Centric Warfare", die auch derartige Angriffsformen explizit nennt. Einen Vorgeschmack auf künftige Konflikte hatte der Irak-Krieg 2003 gegeben.

Die irakischen Militärs wurden zuerst von zwei Spam-Wellen überrollt, sämtliche Websites der irakischen Regierung wurden hierauf "gecrackt", dann wurden die Satelliten-Uplinks von Saddam Husseins Staatsfernsehen Iraqi TV mit Lenkwaffen bombardiert.

(futurezone | Erich Moechel)