Cyberattacken und Cyberspionage gegen die tibetische Diaspora

8. Januar 2025

Gleich zwei Berichte befassen sich mit den seit mindestens 20 Jahren stattfindenden Cyberattacken und der Spionage gegen die tibetische Diaspora.

Tibet Action Institute

Der Bericht des Tibet Action Institute analysiert die Geschichte und die technische Methodik dieser Attacken via Computer, Malware, aber auch in jüngerer Zeit via Mobiltelefonie und stellt über die Jahre einzelne Fälle von Betroffenen dar. Auffallend ist, dass jeweils Wellen von Attacken um «sensitive» Daten und Zeiten lanciert wurden, so zum Beispiel vor und während der Olympischen Sommerspiele in Bejing 2008, während des Höhepunktes der Selbstverbrennungen zwischen 2011 und 2014, und während des Lockdowns auf dem Höhepunkt der Pandemie.

Einige der gezielten Attacken auf Einzelpersonen liessen detaillierte Kenntnisse über diese erkennen. Offenbar wurde über die Betroffenen vorab in Social Media oder öffentlichen Medienberichten recherchiert, was den Empfängern auch die Nachricht überbrachte, dass sich die Absender grosse Mühe gemacht hatten, sie auszuspionieren.

Im Jahr 2007 erhielt die damalige Kampagnenleiterin von Students for a Free Tibet (SFT) mehrere Nachrichten via Skype auf ihren Codenamen, die fragten, wo sie im Moment sei und welche Aktivitäten sie verfolge. Die Nachrichten waren in einer Weise verfasst, als ob die Absender ihr bereits bekannt seien und sogar die Person hinter ihrem Codenamen kennen.

Während der Serie der Selbstverbrennungen erhielt die damalige Direktorin des Tibet Action Institute detaillierte Anfragen, die unter dem Absender eines bekannten Journalisten geschickt wurden, angeblich um einen Artikel und eine Kongresspräsentation über die Selbstverbrennungen zu verfassen. Die Dateianhänge mit Dokumenten für ihre Durchsicht waren infiziert.

Während der Pandemie wurden Nachrichten verbreitet, die in angehängten Dokumenten angeblich Ratschläge aus der chinesischen Eindämmungsstrategie oder Ratschläge an das Delek-Hospital im tibetischen Exil in Dharamsala enthielten.

Weiter wurden massive Attacken auf Server und Websites von NGOs und Exilorganisationen verzeichnet, die die Server blockierten, infizierte Dateien oder sogar Links enthielten; letztere sollten angeblich virusinfizierte Computersysteme reinigen.

Tibetan Computer Emergency Readiness Team

Aufgrund dieser Attacken wurde 2018 das Tibetan Computer Emergency Readiness Team (TibCERT) etabliert. In ihrem Bericht erfassten und katalogisierten die Autoren insgesamt 63 berichtete Attacken, beginnend mit Angriffen gegen die tibetische Diaspora in Dharamsala seit 2009. Infizierte Mails wurden unter einem Absendernamen versandt, der suggerierte, die Mail sei z.B. vom Privatbüro des Dalai Lama abgeschickt. Später wurden die Server mit GhostNet infiziert, einer Malware, die weltweit IT-Anlagen befiel und mit ihrem Ursprung in China zurückverfolgt werden konnte.

Am häufigsten trafen die Spionageoperationen tibetische NGOs, individuelle Tibet-Aktivisten oder die tibetische Regierung im Exil. Die Attacken hatten eine Reihe von gemeinsamen Eigenschaften: die Absenderangabe täuschte einen den Empfängern bekannten Namen vor, und Inhalt und Betreffzeile nahmen Bezug auf ein für Empfänger relevantes Thema, einen kürzlich publizierten Bericht oder ein aktuelles Ereignis.

Bericht Tibet Action Institute: Cyber Espionage Against Tibetans // Bericht TibCERT: Digital Disruption // Dr. Uwe Meya

Foto: TibCERT