• Drucken
• Senden
• Feedback

08.02.2010

Kriminelle Hacker, kurz Cracker, werden in China in jüngster Zeit schärfer verfolgt. Den chinesischen Behörden seien gleich mehrere Schläge gegen illegale Umtriebe chinesischer Netznutzer gelungen, wurde jetzt gemeldet: Von den chinesischen Medien regelrecht bejubelt wurde die Zerschlagung von 3800hk, eine Art virtuelles Ausbildungscamp für Cracker. Westliche Nachrichtenagenturen nahmen die Nachricht auf.

"China Daily" und die Nachrichtenagentur Xinhua meldeten am Montag übereinstimmend, chinesische Behörden hätten die nach ihren Angaben "größte Trainings-Web-Seite für Hacker" geschlossen, das "Black Hawk Safety Net". Drei Verantwortliche, die hinter dem illegalen Angebot steckten, seien festgenommen worden. Über ihre Sammelseite sollen Hacker-Software und Hilfestellungen für gezielte Hacker-Angriffe angeboten worden sein.

Seit der Eröffnung im Jahr 2005 habe die Web-Seite 12.000 Mitglieder gewonnen, die sieben Millionen Yuan (750.000 Euro) an Mitgliedsbeiträgen bezahlt hätten. Mehr als 170.000 weitere Nutzer hätten sich ohne kostenpflichtige Mitgliedschaft auf der Seite registriert, berichtete das Blatt weiter. Wie die staatliche chinesische Zeitung "Legal Daily" auf ihrer Internetseite berichtete, hat die Polizei bei ihrer Aktion gegen das "Black Hawk Safety Net" mehr als 1,7 Millionen Yuan (rund 182.000 Euro) sowie neun Webserver, fünf Computer und ein Auto beschlagnahmt.

Schlaglicht auf eine weit verbreitete Szene

Die Polizei habe schon seit 2007 gegen die Betreiber ermittelt, heißt es in den chinesischen Berichten weiter. Damals seien mehrere "Black Hawk"-Mitglieder mit einem Angriff auf die Stadtverwaltung von Macheng in der Provinz Hubei in Verbindung gebracht worden. Auch westliche Nachrichtenagenturen werteten den Schlag gegen das Web-Angebot als Schließung der "größten chinesischen Hackerschule".

Doch was nach einer aktuellen staatlichen Reaktion auf kriminelle Umtriebe aussieht, hat eigentlich schon Patina angesetzt: 3800hk wurde bereits im November vergangenen Jahres geschlossen, als Teil einer seit Frühjahr 2009 laufenden Polizeiaktion gegen die chinesische Warez-, Porno- und Hackszene. Insgesamt wurde 2009 nach staatlichen Angaben in 476 Fällen gegen Cracker ermittelt, was zu Hunderten Seitenschließungen führte, insgesamt 1057 Menschen wurden im Rahmen der Aktionen verhaftet. Li Quiang, der mutmaßliche Gründer von 3800hk, dürfte einer davon sein.

Service für Script Kiddies

3800hk war eines von zahlreichen Web-Angeboten aus dem Graubereich einer Szene, die ihr Geld vornehmlich mit Warez, der Verbreitung von Raubkopien, Software und Pornografie, aber auch mit IT-Sicherheitsunterweisungen macht. 3800hk beschäftigte ganz regulär bis zu 21 redaktionelle Angestellte, dazu 17 Techniker und diverse Aushilfen. Das Gros der auf dem Höhepunkt der Aktivität rund 108.000 Seiten auf den Servern von 3800hk waren ganz profane Filmkopien, geknackte Spiele, gecrackte Software sowie Musik und Pornografie. Was das Web-Angebot von vielen anderen halbseidenen Raubkopie-Angeboten absetzte, waren allerdings die dort zu findenden Schulungsvideos, die 3800hk zeitweilig sogar als DVDs vertrieb.

Der "China Daily" zufolge sagte ein 23 Jahre altes "Black Hawk"-Mitglied: "Ich konnte von der Web-Seite Trojaner herunterladen, die es mir erlaubten, Computer anderer Leute zu kontrollieren". Videokurse hätten zwischen 100 und 2000 Yuan (10 bis 214 Euro) gekostet. "Ich habe das nur aus Spaß gemacht, kenne aber auch andere Mitglieder, die ein Vermögen mit Angriffen auf die Konten anderer Leute gemacht haben."

In chinesischen Presseberichten war vor allem von Angriffen auf private Zugangsdaten für Spiele- und andere Unterhaltungsseiten sowie E-Mail und Chat-Räume die Rede. "Im Grunde wurde den Studenten beigebracht, wie Konten gestohlen und Trojaner benutzt werden können", soll ein 20-Jähriger der "China Daily" gesagt haben.

In diesen Web-Videos, zu denen man nur als zahlendes Mitglied Zugang erhielt, wurde beispielsweise erklärt, wie Standard-Toolkits angewendet werden müssen, um Schadsoftware zu nutzen. Solche Informationen braucht man, um Angriffe abzuwehren. Oder dafür, sie durchzuführen.

Die Grenzen sind fließend zwischen Szene-Web-Seiten, die tatsächlich an Security-Themen interessiert sind und solchen, die das gegenteilige Ziel verfolgen. 3800hk stand auf der Black-Hat-Seite der Cracker-Szene - bei den Jungs mit den "schwarzen Hüten", den Kriminellen. Es war ein typisches Angebot für so genannte Script-Kiddies - Möchtegern-Hacker ohne vertiefte IT-Kenntnisse, die ihre Angriffe vorzugsweise mit Standard-Programmen durchführen. Das "Black Hawk Safety Net" machte offenbar einen guten Teil seiner Umsätze mit Toolkits, die "Hacken für Jedermann" ermöglichen sollen. Einer der Verkaufsschlager war ein Videokurs, der Web-Seiten-Attackiermethoden in nur drei Lektionen vermittelte.

Über mehrere Jahre eine populäre Adresse

Auf dem Höhepunkt seiner Geschichte schaffte es das "Black Hawk Safety Net" auf Rang 21.000 der populärsten Web-Seiten der Welt (laut Alexa-Ranking), und lag etwa auf Rang 1700 der populärsten Seiten in China - in Anbetracht Hunderter Millionen Web-Seiten ist das höchst beachtlich. Beigetragen zu diesem Erfolg hat allerdings ein ganzes Cluster von Web-Angeboten, die sich mit 3800hk die IP-Adresse teilten, spezialisiert auf die Verteilung verschiedener Arten von Warez, vornehmlich aber von Film-Raubkopien. Zugemacht wurden sie alle.

Warum aus den Hunderten Hack- und Warez-Seiten, die im vergangenen Jahr geschlossen wurden, nun die 3800hk-Seite als Beleg für Chinas hartes Vorgehen gegen die Cracker-Szenen ausgewählt wurde, mag an ihrer Geschichte liegen.

Li Qiang gründete sein Netzwerk wahrscheinlich schon 2003 unter dem Namen "Patriotische Sicherheits-Web-Seite", war zu diesem Zeitpunkt möglicherweise involviert in nationalistisch motivierte Hacks gegen Web-Seiten. 3800cc.com, eine der frühen Web-Seiten aus dem 3800er-Webseiten-Cluster, trug zunächst die Bezeichnung "Schwarzer Habicht Rote Hacker Basis", auch das eine politische Konnotation.

3800hk - kriminelle Patrioten?

Damit gehört 3800hk - so wie auch das berüchtigte Russian Business Network - zur Grauzone primär krimineller Unternehmungen, die von Zeit zu Zeit mit politisch motivierten Hacks auffallen und denen dann von den Geschädigten gern und schnell staatliche Verbindungen nachgesagt werden. Im Extremfall führt so etwas zu internationalen Verstimmungen - wie in der Vergangenheit bei Hack-Schlagabtauschen zwischen Koreanern und Chinesen, Palästinensern und Israelis oder Esten und Russen.

Oder so wie bei den sogenannten Google-Hacks, in deren Verlauf im Dezember 2009 rund 30 US-Unternehmen offenbar mit dem Ziel der Wirtschaftsspionage angegriffen wurden?

Auch diese Hacks sollen von chinesischer Seite erfolgt sein, was Peking vehement bestreitet. Dass der Schlag gegen 3800hk jetzt, mit drei Monaten Verspätung, publik gemacht wurde, kann man auch vor diesem Hintergrund interpretieren: als publikumswirksames, weltweit Schlagzeilen produzierendes "Seht Ihr, wir tun was!"

Zur Einordnung des Vorgangs interessant ist auch, dass das Verschwinden der Hack-Seite im November offenbar niemanden interessierte. In der Szene jedenfalls wurde das Thema kaum aufgegriffen: Warum auch? Solche Angebote kommen und gehen jeden Tag. Auch Verhaftungen von Betreibern solcher Angebote sind in China Alltag. Neben den rund tausend im vergangenen Jahr in China verhafteten, angeblichen Crackern wanderten nach chinesischen Angaben auch rund 5400 Pornoseiten-Betreiber hinter Gitter.

Noch kurz vor der Meldung über die Schließung von "Black Hawk Safety Net" verbreitete die Nachrichtenagentur Xinhua, in Südchina sei der Betreiber einer Porno-Web-Seite inhaftiert worden. Der Mann, den die Agentur mit dem Namen Huang Yizhong zitiert, habe sich vor einem Gericht in der Provinz Guandong schuldig bekannt, wurde daraufhin zu 13 Jahren Haft und einer Geldstrafe von 100.000 Yuan (10.700 Euro) verurteilt. Wenn China gegen dort illegale Angebote vorgeht, ist es selten zimperlich.