Ocean Lotus: Cyberangriffe auf Aktivisten aus Vietnam in Deutschland

Amnesty International hat in Phishing-Mails Hinweise gefunden, dass die Gruppe Ocean Lotus einen in Deutschland lebenden vietnamesischen Blogger ausgespäht hat.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 6 Beiträge
Washington Post: Trump bestätigt Cyberangriff gegen Russland 2018
Von
  • Stefan Krempl

Es gibt weitere Anzeichen dafür, dass in Deutschland Regimekritiker aus Vietnam gezielt ausspioniert werden. Amnesty International (AI) hat am Mittwoch einen Bericht veröffentlicht, wonach die kriminelle Gruppe von Cyber-Angreifern Ocean Lotus den seit 2013 in Deutschland lebenden vietnamesischen Blogger und Demokratie-Aktivisten Bui Thanh Hieu zwischen Februar 2018 und Dezember 2019 mindestens viermal mit einer mächtigen Malware angegriffen hat.

Das Security Lab von Amnesty Tech, ein Team aus Technologie- und Menschenrechtsexperten von AI, hat laut der Analyse in Phishing-Mails Hinweise darauf gefunden, dass für die Cyberattacken Ocean Lotus verantwortlich ist. Die auch als APT32 oder APT-C-00 bekannte Gruppe ist mindestens seit 2014 aktiv, als sie die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF), die Nachrichtenagentur Associated Press sowie zwei vietnamesische Menschenrechtler ins Visier nahm.

Die IT-Sicherheitsfirma FireEye beschreibt die Operationen von Ocean Lotus anhand der ausgemachten Liste an Opfern als "auf die Interessen des vietnamesischen Staates ausgerichtet".

Zeitleiste der Angriffe von Ocean Lotus.

(Bild: Amnesty International)

Im Dezember brachte Facebook in einem Bericht die Aktivitäten der Gruppe mit dem vietnamesischen Unternehmen CyberOne Group in Verbindung. AI gelang es nach eigenen Angaben zwar nicht, eine direkte Verbindung zwischen Ocean Lotus, CyberOne und den vietnamesischen Behörden herzustellen. Die aufgedeckten Angriffe folgten aber alle einem ähnlichen Muster bei der Vorgehensweise und den Betroffenen. Im Laufe der Jahre hat Ocean Lotus laut Amnesty Tech ein ausgeklügeltes Spyware-Toolkit entwickelt, das aus mehreren Varianten von Schadsoftware für Mac OS, Android und Windows besteht. Die Gruppe kompromittiere auch Webseiten, um Besucher zu identifizieren und weitere Ziele zu erreichen. Vor Kurzem sei auch aufgefallen, dass APT32 gefälschte Medienportale auf Basis automatisch online gesammelter Inhalte erstellt habe.

Bui Thanh Hieu, der meist unter dem Pseudonym "Nguoi Buon Gio" schreibt und die vietnamesische Regierung etwa mit Berichten über ein Gerichtsverfahren gegen 14 Dissidenten und Auseinandersetzungen im Südchinesisches Meer gegen sich aufbrachte und vor Ort zweimal verhaftet wurde, erhielt über einen Link zu einem angeblich wichtigen Dokument die Mac-OS-Spyware untergejubelt. Dabei handelt es sich um eine Variante einer Malware-Familie für das Apple-Betriebssystem, die der Untersuchung zufolge ausschließlich von Ocean Lotus entwickelt und eingesetzt wird.

Das Diagramm zeigt, wie Lotus Ocean Geräte infiziert.

(Bild: Amnesty International)

Die IT-Sicherheitsfirma Trend Micro analysierte den Trojaner 2018 und 2020. Er ermöglicht es dem Täter demnach, auf Systeminformationen zuzugreifen, Dateien herunter- und hochzuladen sowie Programme und Befehle auszuführen. Erst im Oktober hatte es Berichte gegeben, dass Ocean Lotus in Deutschland unter anderem den ebenfalls hier lebenden vietnamesischen Regimegegner Vu Quoc Dung ausspähte. Auch eine deutsche Journalistin soll es bereits getroffen haben. Das Bundesamt für Verfassungsschutz (BfV) beobachtet das Treiben der Cyberangreifer seit 2014.

Ferner soll Ocean Lotus im April die Vietnamese Overseas Initiative for Conscience Empowerment (Voice) angegriffen haben. Die Hilfsorganisation für vietnamesische Flüchtlinge sitzt auf den Philippinen. Ein weiterer Blogger in Vietnam, dessen Name AI aus Sicherheitsgründen nicht nennt, wurde zwischen Juli und November dreimal attackiert. In diesen Fällen kam die Windows-Variante der Schadsoftware zum Einsatz, die aus der Kerrdown-Familie stammt. Dabei handelt es sich um einen Downloader, der hier das zum Testen von Cyberangriffen gedachte Programm Cobalt Strike der US-Firma Strategy Cyber nachlud. Es erlaubt einen vollen Zugriff auf das kompromittierte System, wobei etwa Skripte ausgeführt, Screenshots angefertigt oder Tastatureingaben mitgeschnitten werden können.

Die jüngsten Attacken durch Ocean Lotus zeigten, welchen Repressionen vietnamesische Menschenrechtler im In- und Ausland ausgesetzt seien, monierte Likhita Banerji als Co-Autorin des Berichts. Lena Rohrbach von AI in Deutschland forderte die vietnamesische Regierung auf, die Vorgänge unabhängig zu untersuchen. Sonst verhärte sich der Verdacht, dass sie daran beteiligt sei. Im Dezember hatte die Menschenrechtsorganisation Facebook und Google vorgeworfen, sich an staatlichen Einschränkungen der Informations- und Meinungsfreiheit in Vietnam zu beteiligen.

(olb)