Kina-støttet spionasjeoperasjon retter seg mot journalister og aktivister

Kinesiske statsstøttede hackere angriper journalister og sivilsamfunnsgrupper

Forskere ved Citizen Lab og International Consortium of Investigative Journalists (ICIJ) har avslørt en storstilt digital spionasjeoperasjon knyttet til Kina som systematisk rettet seg mot journalister, uiguriske og tibetanske aktivister, samt taiwanske myndighetspersoner. Kampanjen benyttet mer enn 100 ondsinnede domener og KI-genererte phishing-meldinger utformet for å stjele påloggingsopplysninger og skaffe seg uautorisert tilgang til e-postkontoer, filer og kontaktlister.

Omfanget og sofistikeringen av denne operasjonen plasserer den blant de mer betydningsfulle statsstøttede overvåkningskampanjene som er dokumentert de siste årene. Den reiser også alvorlige spørsmål om sårbarheten til sivilsamfunnsgrupper, uavhengige medieorganisasjoner og etniske minoritetssamfunn som rutinemessig opererer under statlig press.

Slik fungerte angrepet

Angriperne baserte seg i stor grad på phishing, en metode som lurer mål til å oppgi brukernavn og passord ved å utgi seg for å være pålitelige tjenester eller kontakter. Det som gjør denne kampanjen bemerkelsesverdig, er den rapporterte bruken av KI-genererte meldinger, som gjør det mulig for angripere å produsere svært overbevisende, grammatisk korrekt kommunikasjon i stor skala, og dermed senke én av de tradisjonelle barrierene for effektiv phishing.

Når påloggingsopplysningene var skaffet til veie, kunne angriperne stille og rolig få tilgang til e-postinnbokser, høste kontaktlister og lese sensitive filer uten å utløse åpenbare varsler. Denne typen tilgang er særlig skadelig for gravjournalister, hvis kildekommunikasjon og upubliserte dokumenter kan bli eksponert, og for aktivister hvis nettverk av kontakter kan identifiseres og utsettes for risiko.

Bruken av over 100 ondsinnede domener tyder på en velfinansiert operasjon. Å spre infrastrukturen over mange domener gjør det vanskeligere for sikkerhetsteam å blokkere kampanjen ved å angripe én enkelt kilde, og det gir angriperne mulighet til å rotere raskt dersom individuelle domener blir flagget.

Hvem ble rammet, og hvorfor det er viktig

Målene i denne kampanjen har en fellesnevner: de tilhører alle grupper som kinesiske myndigheter har sterke politiske motiver for å overvåke. ICIJ er best kjent for å publisere store finansielle avsløringer, blant annet Panama Papers og Pandora Papers. Uiguriske og tibetanske samfunn har lenge vært gjenstand for digital overvåkning, og Citizen Lab har dokumentert flere tidligere kampanjer mot begge grupper. Taiwanske myndighetspersoner representerer et geopolitisk sensitivt mål gitt de pågående spenningene over Taiwan-stredet.

Dette er ikke en isolert hendelse. Citizen Lab, som holder til ved University of Toronto, har dokumentert dusinvis av kampanjer gjennom årene rettet mot dissidenter, journalister og minoritetsgrupper med tilknytning til Kina. Det denne siste saken illustrerer, er at metodene er i utvikling. Innføringen av KI-verktøy i phishing-operasjoner tyder på at selv digitalt varsomme mål kan få vanskeligere for å skille ondsinnede meldinger fra legitime.

For sivilsamfunnsorganisasjoner strekker konsekvensene seg lenger enn individuelle kontoer. Når en journalists innboks kompromitteres, kan kilder identifiseres. Når en aktivists kontaktliste høstes, blir et helt nettverk synlig for en fiendtlig statsaktør. Skaden er sjelden begrenset til den personen som direkte angripes.

Hva dette betyr for deg

Dersom du arbeider innen journalistikk, aktivisme eller et hvilket som helst felt der sensitiv kommunikasjon er hverdagskost, er denne kampanjen en tydelig påminnelse om at legitimasjonstyveri er et av de mest effektive verktøyene statsstøttede angripere har til rådighet. Du trenger ikke å være et høyprofilert mål for å bli fanget opp i et bredt overvåkningsnett.

Flere praktiske tiltak kan redusere eksponeringen din betydelig:

• Bruk maskinvaresikkerhetsnøkler eller app-basert tofaktorautentisering. Phishing-angrep som stjeler passord er langt mindre effektive når et andre faktor kreves for å fullføre en pålogging. Maskinvarenøkler er spesielt motstandsdyktige mot phishing.
• Vær skeptisk til uventede påloggingsforespørsler. KI-genererte phishing-meldinger kan se overbevisende ut, men selve forespørselen – om å bekrefte legitimasjon eller logge inn via en ukjent lenke – er advarselssignalet.
• Bruk krypterte kommunikasjonsverktøy for sensitive samtaler. E-post er i utgangspunktet vanskelig å sikre. Ende-til-ende-krypterte meldingsapplikasjoner gir betydelig sterkere beskyttelse for kildekommunikasjon og sensitiv koordinering.
• Gjennomgå kontotilgangen din regelmessig. Sjekk hvilke enheter og applikasjoner som har tilgang til e-post og skylagring. Trekk tilbake tilgang fra alt som er ukjent.
• Vurder å bruke et VPN når du får tilgang til sensitive kontoer på offentlige eller upålitelige nettverk. Et VPN forhindrer ikke phishing, men det beskytter trafikken din mot avlytting på nettverksnivå, noe som er viktig når trusselmodellen din inkluderer statsaktører.

Statsstøttede phishing-kampanjer som denne er utformet for å være usynlige. Legitimasjon stjeles, tilgang opprettholdes i stillhet, og målene er ofte helt uvitende om at de er blitt kompromittert inntil betydelig skade allerede har skjedd. Å forstå hvordan disse operasjonene fungerer, er det første steget mot å beskytte seg selv og sitt nettverk.

For journalister, aktivister og alle hvis arbeid gjør dem til mål for en motivert motstander, er digital sikkerhet ikke en teknisk ettertanke. Det er en sentral del av å operere trygt. Å gjennomgå autentiseringspraksisene og kommunikasjonsvanene dine nå – før en hendelse inntreffer – er det mest effektive forsvaret som er tilgjengelig.