Kina-støttet spionagekampagne retter sig mod journalister og aktivister

Kinesiske statssponsorerede hackere retter sig mod journalister og civilsamfundsgrupper

Forskere hos Citizen Lab og International Consortium of Investigative Journalists (ICIJ) har afsløret en omfattende digital spionageoperation med forbindelser til Kina, der systematisk rettede sig mod journalister, uiguriske og tibetanske aktivister samt taiwanske regeringsembedsmænd. Kampagnen anvendte mere end 100 ondsindede domæner og AI-genererede phishing-beskeder designet til at stjæle loginoplysninger og opnå uautoriseret adgang til e-mailkonti, filer og kontaktlister.

Operationens omfang og raffinement placerer den blandt de mere betydningsfulde statssponsorerede overvågningskampagner, der er dokumenteret i de seneste år. Den rejser også alvorlige spørgsmål om sårbarheden hos civilsamfundsgrupper, uafhængige medieorganisationer og etniske minoritetssamfund, der rutinemæssigt opererer under statspres.

Sådan fungerede angrebet

Angriberne baserede sig i høj grad på phishing – en metode, der narrer mål til at udlevere deres brugernavne og adgangskoder ved at udgive sig for betroede tjenester eller kontakter. Det, der gør denne kampagne bemærkelsesværdig, er den rapporterede brug af AI-genererede beskeder, som giver angriberne mulighed for i stor skala at producere overbevisende, grammatisk korrekt kommunikation, hvilket sænker en af de traditionelle barrierer for effektiv phishing.

Når loginoplysningerne var indhentet, kunne angriberne lydløst tilgå e-mailindbakker, indsamle kontaktlister og læse følsomme filer uden at udløse åbenlyse alarmer. Denne form for adgang er særligt skadelig for undersøgende journalister, hvis kildekommunikation og upublicerede dokumenter kan blive eksponeret, og for aktivister, hvis netværk af kontakter kan identificeres og bringes i fare.

Brugen af mere end 100 ondsindede domæner tyder på en velfinansieret operation. At distribuere infrastruktur på tværs af mange domæner gør det sværere for sikkerhedsteams at blokere kampagnen ved at rette sig mod en enkelt kilde, og det giver angriberne mulighed for hurtigt at skifte, hvis individuelle domæner bliver markeret.

Hvem blev ramt, og hvorfor det er vigtigt

Målene i denne kampagne har en rød tråd til fælles: de er alle grupper, som kinesiske myndigheder har stærke politiske motiver til at overvåge. ICIJ er bedst kendt for at publicere store finansielle undersøgelser, herunder Panama Papers og Pandora Papers. Uiguriske og tibetanske samfund har længe været genstand for digital overvågning, og Citizen Lab har dokumenteret adskillige tidligere kampagner mod begge grupper. Taiwanske regeringsembedsmænd udgør et geopolitisk følsomt mål i lyset af de igangværende spændinger på tværs af Taiwanstrædet.

Dette er ikke en isoleret hændelse. Citizen Lab, der er baseret ved University of Toronto, har over årene dokumenteret snesevis af kampagner rettet mod dissidenter, journalister og minoritetsgrupper med forbindelser til Kina. Hvad denne seneste sag illustrerer, er at metoderne udvikler sig. Inddragelsen af AI-værktøjer i phishing-operationer tyder på, at selv digitalt påpasselige mål kan få sværere ved at skelne ondsindede beskeder fra legitime.

For civilsamfundsorganisationer rækker konsekvenserne langt ud over individuelle konti. Når en journalists indbakke kompromitteres, kan kilder identificeres. Når en aktivists kontaktliste indsamles, bliver et helt netværk synligt for en fjendtlig statsaktør. Skaden er sjældent begrænset til den person, der direkte angribes.

Hvad dette betyder for dig

Hvis du arbejder inden for journalistik, aktivisme eller ethvert felt, hvor følsom kommunikation er hverdagskost, er denne kampagne en tydelig påmindelse om, at tyveri af loginoplysninger er et af de mest effektive redskaber, der er tilgængelige for statssponsorerede angribere. Du behøver ikke at være et højprofileret mål for at blive fanget i et bredt overvågningsnet.

Flere praktiske tiltag kan reducere din eksponering markant:

• Brug hardware-sikkerhedsnøgler eller app-baseret to-faktor-godkendelse. Phishing-angreb, der stjæler adgangskoder, er langt mindre effektive, når en anden faktor er påkrævet for at gennemføre et login. Hardware-nøgler er særligt stærkt modstandsdygtige over for phishing.
• Vær skeptisk over for uventede loginanmodninger. AI-genererede phishing-beskeder kan se overbevisende ud, men selve anmodningen – der beder dig om at bekræfte dine loginoplysninger eller logge ind via et ukendt link – er det røde flag.
• Brug krypterede kommunikationsværktøjer til følsomme samtaler. E-mail er i sagens natur svært at sikre. Ende-til-ende-krypterede beskedapplikationer giver markant stærkere beskyttelse af kildekommunikation og følsom koordinering.
• Gennemgå regelmæssigt din kontoadgang. Tjek hvilke enheder og applikationer der har adgang til din e-mail og skylagring. Tilbagekald adgangen fra alt, der er ukendt.
• Overvej at bruge en VPN, når du tilgår følsomme konti på offentlige eller upålidelige netværk. En VPN forhindrer ikke phishing, men den beskytter din trafik mod aflytning på netværksniveau, hvilket er relevant, når din trusselsmodel omfatter aktører på statsniveau.

Statssponsorerede phishing-kampagner som denne er designet til at være usynlige. Loginoplysninger stjæles, adgang opretholdes i det stille, og mål har ofte ingen idé om, at de er blevet kompromitteret, før der allerede er sket betydelig skade. At forstå, hvordan disse operationer fungerer, er det første skridt mod at beskytte sig selv og sit netværk.

For journalister, aktivister og alle, hvis arbejde placerer dem i skudlinjen hos en motiveret modstander, er digital sikkerhed ikke en teknisk eftertanke. Det er en central del af at operere sikkert. At gennemgå sine godkendelsespraksisser og kommunikationsvaner nu – inden en hændelse opstår – er det mest effektive forsvar, der er til rådighed.