Hacker aus China: So arbeiten die Cyberkrieger

Hamburg - China hat ein Hacker-Problem. Das US-Sicherheitsunternehmen Mandiant - 2004 von einem Veteranen der US-Airforce gegründet - hat einen der bislang detailliertesten Berichte über Hackerangriffe aus China vorgelegt. Die Firma hat Hacker-Angriffe auf 141 Unternehmen und Organisationen weltweit über einen Zeitraum von sechs Jahren untersucht. Gesteuert wurden die Attacken in nahezu allen Fällen von Rechnern in einem bestimmten Stadtteil Shanghais.

Chinas Außenministerium reagiert auf den Bericht mit den üblichen Argumenten: Es sei "unprofessionell und unverantwortlich", den chinesischen Staat zu beschuldigen. Hacker-Angriffe seien "anonym und transnational", China sei selbst Opfer solcher Angriffe und beschuldige doch auch nicht die USA.

Doch die von Mandiant zusammengetragenen Indizien lassen Chinas Argumentation unglaubwürdig erscheinen. Wenn die Täter nicht für den chinesischen Staat arbeiten, dann ist das Regime zumindest unfähig, kriminelle Aktivitäten großen Ausmaßes im eigentlich streng überwachten IT-Sektor des Landes zu entdecken. Die Indizien im Überblick:

1. Netzwerkverkehr nach Shanghai

Bei den von Mandiant dokumentierten Angriffen loggten sich die Angreifer von chinesischen IP-Adressen aus auf ihren Angriffsrechnern ein. Der Netzwerkverkehr lief laut Mandiant in 98,2 Prozent der Fälle zu vier großen Blöcken von IP-Adressen in Shanghais Bezirk Pudong New Area. Ähnlich hoch war dieser Anteil bei beobachteten direkten Logins auf befallenen Computern. Die dokumentierten chinesischen IP-Adressen gehören zu China Unicom, einem der größten Internetprovider des Landes, einige der von den Angreifern genutzten IP-Adressen gehörten zu China Telecom. Beide Firmen sind Staatskonzerne.

2. Tastaturlayout

Die Rechner, von denen aus sich die Angreifer zur Steuerung ihrer Systeme einloggten, hatten bei den von Mandiant beobachteten Fällen zum größten Teil das einfache chinesische Tastaturlayout eingestellt.

3. Ausmaß und Breite der Angriffe

Die von Mandiant beobachteten Hacker verfügen über enorme technische Ressourcen. Etwa tausend Server gehören zu der bei den Attacken genutzten Infrastruktur. Die Angreifer haben genug Personal, um E-Mails passgenau auf einzelne Personen in Unternehmen zuzuschneiden. Die Angeschriebenen werden dann dazu gebracht, eine manipulierte Website aufzurufen. Ungewöhnlich ist, dass die Angreifer diese teure Infrastruktur über Jahre hinweg finanzieren. Sie müssen offenbar kein Geld verdienen, zumindest nutzen sie bei von Mandiant beobachteten Angriffen keinen der üblichen Wege, um mit gekaperten Rechnern Geld zu verdienen (Spam-Versand, Betrug, Erpressung, Vermietung an andere Kriminelle).

Die Angreifer picken sich auch nicht zielgerichtet einzelne Unternehmen heraus, was für lukrative Auftragsangriffe für Konkurrenzfirmen spräche. Stattdessen kopieren die Hacker in großem Umfang Hunderte von Terabyte Dokumente, Gerichtsakten und E-Mails bei IT-Firmen, Kanzleien, Energieunternehmen, Baufirmen. Diese Masse an Material ist nur wertvoll, wenn viele Experten sie sichten, analysieren und Informationen herausfiltern, die für mögliche Kunden bei Firmen und Regierungen wertvoll sein könnten.

4. Die chinesische NSA

Die dritte Abteilung des chinesischen Generalstabs ist China-Experten zufolge das Gegenstück zum US-Geheimdienst NSA: Sie ist verantwortlich für die technische Aufklärung, also unter anderem das Belauschen von Telefongesprächen und Internetverkehr.

Eine Einheit dieser chinesischen NSA sitzt in Shanghai, in der Pudong New Area. Schon 2011 haben China-Experten des US-Thinktanks Project 2049 diese Einheit 61398 als verantwortlich für die technische Aufklärung in den USA und Kanada ausgemacht. Mitarbeiter der Einheit 61398 publizieren in chinesischen Fachmagazinen Beiträge über Netzwerksicherheit.

Die überwiegende Mehrheit der von Mandiant beobachteten Angriffe ging von IP-Adressen in dem Bezirk Shanghais aus, wo die Einheit 61398 sitzt.

Fazit: Bezahlen Chinas Machthaber die Hacker?

Für die in dem 76-seitigen Bericht zusammengetragenen Indizien gibt es vier mögliche Erklärungen:

• Mandiant hat den Bericht frei erfunden. Das ist unwahrscheinlich - die Firma hat einen Ruf zu verlieren, berät seit Jahren Firmen und Regierungen, zudem decken sich viele in dem Bericht genannten Fakten mit den Beobachtungen anderer Sicherheitsfirmen und Analysten.
• Eine sehr große Hacker-Gruppe operiert jahrelang völlig ungehindert in einem Viertel Shanghais, in dem die Volksarmee eine starke Präsenz hat. Das ist möglich, setzt aber in einem totalitären Regime wie dem chinesischen zumindest die Duldung durch die Machthaber voraus.
• Ausländische Hacker geben sich über Jahre hinweg als Chinesen aus, leiten sämtliche Kommunikation über Shanghai und haben dabei direkten Zugriff auf die Ressourcen eines der größten chinesischen Internetproviders. Das ist ohne die Duldung durch die Machthaber kaum vorstellbar. Chinesische Provider kontrollieren für den Staat sehr genau, wer welche Dienste wie nutzt.
• Die von Mandiant beobachteten Hacker arbeiten im Auftrag von staatlichen chinesischen Stellen - das würde erklären, warum sie über derart große Ressourcen verfügen.

Die vierte Erklärung erscheint plausibel. Die von Mandiant beobachteten Täter sind keine gewöhnlichen Kriminellen, die mit Betrug, Erpressung oder Spam ihr Geld verdienen. Sie kopieren in großem Stil Informationsrohstoff - es gibt nur wenige Abnehmer, die derart breit gestreute Daten auswerten können. Zudem sind die Täter sehr lange Zeit aktiv, in einem Staat mit der am besten überwachten Internetinfrastruktur der Welt. Entweder sind Chinas Netzkontrolleure unfähig - oder sie haben das Treiben in Shanghai zumindest geduldet, wenn nicht sogar aktiv unterstützt.

Dem Autor auf Facebook folgen