Nach einer ersten Welle von gefälschten Pro-Tibet-Mails im mit Viren und Trojanern an Bord warnen Virenspezialisten jetzt vor einem Grossangriff auf Tibet-Sympatisanthen - mit verseuchten PDF, Word-, Powerpoint- und Excel-Dateien, die per Mail gezielt verschickt werden.

China konzentriert Paramilitärs in den an Tibet grenzenden Provinzen - seit Beginn der Menschenjagd nach Protesten in Tibet am 12. März gibt es keine unabhängigen Bilder und Berichte mehr aus Tibet. (Bild Keystone / Greg Baker)

Zuerst waren es verpackte HTML-Dateien (CHM), vor denen MacAffee bereits am 12. März warnte: Sie enthielten Fotos aus Tibet - und eine Spionage-Software, welche im Hintergrund den Rechner ausspioniert.

Jetzt ist die Bedrohung laut F-Secure noch umfassender und die Methode perfider geworden:

So sollen Maillinglisten von Sympathisanten eines unabhängigen Tibet gezielt mit verseuchten Mails bombardiert worden sein, deren Inhalt - PDF, Word-, Ecel oder Powerpoint-Dateien durchaus legitim und zum Thema passend scheint. Im Hintergrund aber werden auf dem Rechner, auf dem die Attachments geöffnet wurden, Trojaner und/oder Keylogger installiert, die danach Eingegebene Informationen an ein chinesisches DNS-bouncer-System verschicken, das laut F-Secure “immer und immer wieder für Attacken verwendet wurde”.

Jemand versucht, mit pro-Tibet-Emails Computer der Mitglieder von Pro-Tibet-Gruppen zu verseuchen, um ihre Aktionen auszuspionieren

schliesst man bei F-Secure. Das scheint vorderhand noch Spekulation - ein installierter Keylogger verrät durchaus viel mehr als nur politische Aktionen an einen Horcher - die Attacke könnte genau so gut zum fischen von Online-Bankverbindungen dienen.

Beispiele verseuchter Anhänge in Pro-Tibet-Mails. Darunter Powerpoint-, Excel- und PDF-Dateien. (Screenshots F-Secure)

Allerdings spricht die Vielzahl verschiedener Dokumente, die Sorgfalt, mit der sie getarnt wurden und die gezielte Attacke auf Tibet-Gruppen für eine sehr gut organisierte Aktion.

Selbst die Washington Post zitiert Experten, denengemäss die Attacke ein bisher nicht bekanntes Ausmass angenommen habe und mit Angriffen auf Militär-Vertragspartner der USA in jüngster Vergangenheit in Verbindung gebracht werden könnten.

Andere Vorfälle ähnlicher Natur haben jetzt auch das FBI aufs Tapet gerufen: Die amerikanische “Save Darfur Coalition” alarmierte die amerikanische Bundespolizei, nachdem sie festgestellt hatte, dass jemand Zugriff auf ihren Mailserver erlangt und sie angeblich systematisch ausspioniert hatte. Die Gruppe versucht, China dazu zu bringen, seine Unterstützung für das Regime im Sudan, welches für den Massenmord in Darfur verantwortlich ist, fallen zu lassen.

Detaillierte Informationen über die gefälschten Pro-Tibet-Dokumente im Blog von F-Secure