Phishing: Angriffe gegen Journalisten und Menschenrechtler

GMail-App-Icon
In einigen Fällen konnten die Angreifer auf E-Mails und Cloud-Speicher zugreifen. (Quelle: IMAGO / imagebroker)

Mindestens 20 Menschenrechtler, Aktivisten, Forschende, Diplomaten und Politiker sind mit einer gezielten Phishing-Kampagne ins Visier genommen worden. Das berichtet die Menschenrechtsorganisation Human Rights Watch (HRW). Sie schreibt die Attacke einer Gruppe mit Verbindungen zum iranischen Regime zu. In drei Fällen wurden persönliche Daten erbeutet.

Wie Human Rights Watch berichtet, waren auch zwei Mitarbeitende der Organisation Ziel der Phishing-Kampagne. Eine Person, die bei HRW für den Nahen Osten und Nordafrika zuständig ist, hatte demnach im Oktober eine verdächtige WhatsApp-Nachricht erhalten. Die Angreifer hatten darin vorgegeben, für eine Denkfabrik im Libanon zu arbeiten und die betroffene Person zu einer Konferenz eingeladen. Die Nachricht habe ausgesehen wie frühere Einladungen der Denkfabrik.

Ende November hatte zudem ein weiterer Mitarbeiter der Menschenrechtsorganisation die gleiche Nachricht erhalten.

Das IT-Sicherheitsteam von Human Rights Watch hatte die Nachrichten daraufhin gemeinsam mit dem Security Lab von Amnesty International untersucht und konnte weitere Betroffene ausfindig machen. Dazu zählen nach Angaben von HRW namhafte Aktivisten, Medienschaffende, Forschende, Akademiker, Diplomaten sowie Politiker. Sie alle befassen sich laut HRW mit Fragen des Nahen Ostens.

Die Nachrichten enthielten Links, die zu gefälschten Anmeldeseiten für Dienste von Microsoft, Google und Yahoo führten.

Zugriff auf E-Mails

In mindestens drei Fällen waren die Angriffe erfolgreich und es wurden sensible Daten kompromittiert, berichtet HRW. Bei den Betroffenen handle es sich um den Korrespondenten einer “großen US-Zeitung”, eine in der Golfregion ansässige Frauenrechtsaktivistin sowie um Nicholas Neo, einen Berater der Hilfsorganisation Refugees International im Libanon.

Die Angreifer hätten Zugriff auf die E-Mails der Betroffenen erhalten, ebenso wie auf Cloud-Speicher, Kalender und Adressbücher. In mindestens einem Fall soll bei einem Google-Konto zudem ein sogenannter Takeout durchgeführt worden sein. Damit ermöglicht es Google seinen Nutzerinnen und Nutzern, Daten aus ihrem Konto herunterzuladen – unter anderem zu Internet-Suchen, Daten von Google Maps und YouTube-Aktivitäten.

Die betroffenen Personen hätten nicht bemerkt, dass ihre Google-Konten kompromittiert wurden, bis sie von HRW und Amnesty International informiert wurden.

Iranische Gruppe soll hinter Angriffen stecken

Die IT-Sicherheitsspezialisten schreiben die Phishing-Angriffe einer Gruppe namens “APT42” zu. Sowohl Google als auch verschiedene IT-Sicherheitsunternehmen hatten die Gruppe in der Vergangenheit mehrfach in Verbindung mit dem iranischen Regime gebracht. Sicherheitsforscher von Mandiant hatten beispielsweise erst im September berichtet, “APT42” arbeite im Auftrag der iranischen Revolutionsgarde.

Den Sicherheitsforschern zufolge greift die Gruppe E-Mail-Konten häufig durch gezielte und personalisierte Phishing-Kampagnen an, bei denen der Schwerpunkt darauf liege, das Vertrauen der Zielperson zu gewinnen. Auch an Spionageoperationen mit Spähsoftware soll die Gruppe beteiligt sein.

Im September hatten die USA Sanktionen gegen Personen verhängt, die mit der Gruppe in Verbindung stehen.

Laut Human Rights Watch nehmen iranische Akteure bereits seit 2010 wiederholt Mitglieder anderer Regierungen, aber auch politische Dissidenten, Menschenrechtler oder Militärs ins Visier.

Abir Ghattas, Direktorin für Informationssicherheit bei HRW, erklärte, staatlich unterstützte Gruppen aus dem Iran nutzten ausgeklügelte Taktiken, “um sich Zugang zu sensiblen Informationen und Kontakten von Forschern und zivilgesellschaftlichen Gruppen im Nahen Osten zu verschaffen”. Das Risiko für Journalisten und Menschenrechtsaktivisten in der Region werde dadurch erheblich erhöht.

Auch in anderen Ländern werden Menschenrechtler und Journalisten immer wieder Ziel von Spionage. So hatte Amnesty International im Jahr 2020 etwa von einer Phishing-Kampagne gegen usbekische Menschenrechtler berichtet. Eine Mitarbeiterin von HRW wurde im vergangenen Jahr mit der Spionagesoftware Pegasus ausgespäht. Weltweit sind Dutzende solcher Fälle bekannt geworden.

Proteste im Iran

Im Iran kommt es seit Monaten zu Demonstrationen gegen das Regime. Auslöser war der Tod der 22-jährigen Mahsa Amini, die im September von der sogenannten Sittenpolizei verhaftet wurde.

Vielerorts gehen die Sicherheitskräfte mit Gewalt gegen die Demonstrierenden vor. Menschenrechtsorganisationen zufolge wurden inzwischen mehr als 470 Menschen bei den Protesten getötet, mindestens 18.000 Demonstrierende wurden verhaftet. Mindestens eine Person wurde im Zusammenhang mit den Protesten zum Tode verurteilt.

Medienberichten zufolge haben sich seit Montag Ladenbesitzer in vielen iranischen Städten einem dreitätigen Generalstreik angeschlossen. Damit soll wirtschaftlicher Druck auf das Regime ausgeübt werden. (js)