Indische Regierungssysteme unter Angriff: Hacker setzen gefälschte Verknüpfungsdateien ein

Eine mit Pakistan verbundene Hackergruppe, die als Transparent Tribe (APT36) bekannt ist, steht erneut im Rampenlicht, da sie eine neue Cyberangriffskampagne gegen indische Regierungsinstitutionen gestartet hat.

Forscher der Cybersicherheitsfirma CYFIRMA haben eine neue Cyber-Spionagekampagne aufgedeckt, die sich gegen indische Regierungsbehörden richtet, wobei Angreifer bösartige Desktop-Verknüpfungsdateien als harmlose PDF-Dokumente tarnen, um heimlich Malware im Hintergrund zu installieren.

Wie der Angriff funktioniert

Laut CYFIRMA beginnt die Kampagne mit Phishing-E-Mails, die angeblich offizielle Einladungsschreiben zu Meetings enthalten, mit einer Datei, die so etwas wie „Meeting_Ltr_ID1543ops.pdf.desktop“ heißt. Anstatt eine PDF zu öffnen, führen Opfer, die auf die angehängte Datei klicken, die wie ein harmloses Dokument aussieht, unwissentlich eine bösartige Verknüpfungsdatei aus, die Spyware im Hintergrund installiert.

Die Datei lädt eine Malware-Nutzlast von von Angreifern kontrollierten Servern wie securestore[.]cv und modgovindia[.]space herunter und installiert sie im Hintergrund. Um Verdacht zu vermeiden, öffnet sich ein Lockvogel-PDF, das auf Google Drive gehostet wird, in Firefox und täuscht das Opfer vor, dass es einfach ein Meeting-Dokument geöffnet hat.

Sobald die Malware im System ist — geschrieben in der Programmiersprache Go — kann sie sensible Daten stehlen, Anmeldeinformationen sammeln, langfristigen Zugriff ermöglichen und auch nach einem Neustart aktiv bleiben, indem sie automatisierte Aufgaben einrichtet.

„Die Fähigkeit von APT36, ihre Liefermechanismen an die Betriebsumgebung des Opfers anzupassen, erhöht damit die Erfolgschancen, während sie gleichzeitig einen dauerhaften Zugang zu kritischen Regierungsinfrastrukturen aufrechterhält und traditionelle Sicherheitskontrollen umgeht“, schrieb CYFIRMA in einem Forschungsblogbeitrag.

Im Gegensatz zu früheren Operationen passt diese Kampagne Angriffe speziell auf Indiens Linux-basierte Systeme an, wie BOSS (Bharat Operating System Solutions) — ein staatlich unterstütztes Betriebssystem, zusätzlich zu Windows-Systemen.

Um die Persistenz aufrechtzuerhalten, fügt die Malware einen Cron-Job hinzu, der die versteckte Nutzlast ‘.config/systemd/systemd-update’ jedes Mal ausführt, wenn das System neu gestartet wird, und sicherstellt, dass sie auch nach Abschaltungen oder Prozessbeendigungen aktiv bleibt.

Da BOSS in Regierungsbehörden weit verbreitet ist, erhöht diese duale Plattformzielung die Erfolgschancen der Hacker.

Warum das wichtig ist

Sicherheitsexperten warnen, dass sich die sich entwickelnden Taktiken von Transparent Tribe nun von der traditionellen Nutzung von Windows-Malware hin zur Entwicklung von Bedrohungen, die auf Linux BOSS abzielen, verschoben haben.

„Die Verwendung von .desktop-Nutzlasten, die auf Linux BOSS abzielen, spiegelt einen taktischen Wandel wider, der darauf abzielt, einheimische Technologien auszunutzen. Kombiniert mit traditioneller Windows-basierter Malware und mobilen Implantaten zeigt dies die Absicht der Gruppe, Zugriffsvektoren zu diversifizieren und die Persistenz selbst in gehärteten Umgebungen sicherzustellen“, sagte CYFIRMA.

Zusätzlich zur Gefahr betreibt die Gruppe auch Websites zur Erfassung von Anmeldeinformationen, die indische Regierungsportale nachahmen. Gefälschte Anmeldeseiten täuschen Opfer und bringen sie dazu, ihre E-Mail, ihr Passwort und sogar Kavach-Zwei-Faktor-Authentifizierung (2FA)-Codes — eine Sicherheitsmaßnahme, die von indischen Behörden seit 2022 verwendet wird — preiszugeben. Durch das Umgehen dieser Sicherheitsebene erhalten die Angreifer vollständigen Zugriff auf sensible Konten.

Langfristige Bedrohung

Transparent Tribe, das vermutlich aus Pakistan operiert, ist seit über einem Jahrzehnt aktiv und zielt regelmäßig auf die indische Regierung, Verteidigungs- und kritische Infrastrukturorganisationen ab. Ihre Taktiken haben sich stetig weiterentwickelt — von einfacher Windows-basierter Malware zu hochgradig maßgeschneiderten Linux-Hintertüren und Anmeldeinformationsdiebstahlschemata in ganz Südasien.

Empfehlungen & Minderung

Sicherheitsforscher raten Regierungsmitarbeitern, E-Mail-Anhänge und Anmeldeseiten mit Vorsicht zu behandeln, da getarnte PDFs und gefälschte Portale verwendet werden, um Benutzer zu täuschen und ihre Anmeldeinformationen preiszugeben.

Um APT36s Kampagne, die sich gegen indische Regierungsstellen durch bewaffnete .desktop-Dateien richtet, zu bekämpfen, wird empfohlen, starke E-Mail-Sicherheitsmaßnahmen zu implementieren, regelmäßige Schulungen für Benutzer durchzuführen und BOSS Linux mit minimalen Berechtigungen abzusichern. Die Erkennung von Endpunkten, die Netzwerküberwachung und die Integration von IOCs/YARA-Regeln werden helfen, frühzeitig zu erkennen, während zeitnahe Patches und verhaltensbasierte Kontrollen entscheidend sind, um verdächtige Aktivitäten zu blockieren.

Das größere Bild

Der Vorfall unterstreicht die nationalen Sicherheitsrisiken, die von APT-Gruppen ausgehen, die Regierungsinfrastrukturen ins Visier nehmen. Wenn solche Angriffe erfolgreich sind, könnte dies zum Diebstahl klassifizierter Daten, zu Störungen kritischer Operationen und zu langfristiger Überwachung indischer Behörden führen. Während Transparent Tribe weiterhin seine Methoden weiterentwickelt, sieht sich Indien einer wachsenden Herausforderung gegenüber, sensible Infrastrukturen vor Cyber-Spionage zu verteidigen.