Computerangriff "Ke3chang"-Hacker infizierten Rechner von EU-Außenministerien

Chinesische Hacker haben vor der G-20-Gipfel die Computer von EU-Abgesandten angegriffen und mit Malware infiziert. Weil die Hacker unvorsichtig waren, konnte ihnen eine US-Sicherheitsfirma dabei über die Schultern sehen.

Hackerangriff (Symbolbild): Verseuchte E-Mails infizierten Rechner
SPIEGEL ONLINE

Hackerangriff (Symbolbild): Verseuchte E-Mails infizierten Rechner


Mit manipulierten E-Mails haben Hacker die Außenministerien von fünf EU-Mitgliedstaaten ins Visier genommen. Im Sommer gelang es der "Ke3chang" genannten Gruppe, neun Computer in Ministerien mit Malware zu infizieren, berichtet die BBC.

Die US-Sicherheitsfirma FireEye hat den Angriff aufgedeckt und konnte zumindest zeitweise das Vorgehen der Kriminellen beobachten. Die Hacker schickten mit Malware verseuchte E-Mails an Empfänger in den Ministerien. Der Inhalt der E-Mails sei dabei als relevante Information für eine mögliche Intervention der USA im Syrienkonflikt deklariert worden, so die Firma.

Zwar teilte FireEye nicht mit, welche EU-Außenministerien von dem Angriff konkret betroffen waren. Allerdings seien die verseuchten Nachrichten auf Personen und Vertreter von Ländern zugeschnitten gewesen, die an dem G-20-Gipfel Anfang August in St. Petersburg teilnahmen.

Im Vorfeld der Konferenz, auf der über die Syrien-Krise verhandelt werden sollte, führten die Hacker ihre Angriffe durch. Eine Augustwoche lang konnte FireEye die Aktivitäten der Hacker beobachten, indem die Mitarbeiter einen der 23 Server der Internetkriminellen anzapften. Der Name Ke3chang, den FireEye der Gruppe gab, stammt von Dateinamen, in denen der Schadcode steckte.

Sicherheitsfirma hackt zurück

Innerhalb der beobachteten Woche konnte die Sicherheitsfirma nicht feststellen, dass Dateien von den Hacker gestohlen worden. FireEye-Mitarbeiter Narottama Villeneuve sagte der BBC: "In dieser Phase ist es den Angreifern um die Erkundung der Netzwerkstruktur gegangen."

Ob in späteren Attacken Informationen entwendet und womöglich verkauft wurden, ist allerdings unbekannt. Um einen der für den Angriff eingesetzen Server zu überwachen, nutzte FireEye ein Sicherheitsleck in der Infrastruktur der Kriminellen. Allerdings gelang dies nur einige Tage lang. Als die Kriminellen den Server auswechselten, verlor die Firma den Zugang.

Ke3chang ist mindestens seit 2010 aktiv und hat neben Luftfahrt- und Energieunternehmen auch Regierungsbehörden angegriffen, erklärten die Forscher. Ihre Attacken tarnten sie als Informationen zu den Olympischen Spielen 2012 in London oder als Nacktbilder Carla Brunis, der Frau des damaligen französischen Präsidenten Nicolas Sarkozy.

"Die Hacker befinden sich zwar in China", sagte Villeneuve. "Allerdings lässt sich mit technologischen Mitteln nur sehr schwer herausfinden, wie und ob die Gruppe überhaupt mit der chinesischen Regierung in Verbindung steht."

In den vergangenen Jahren häufen sich Meldungen über chinesische Hacker, die versuchen, in wichtige Netzwerke und sicherheitsrelevante Systeme einzudringen. So zeigte beispielsweise ein Test mit einem simulierten Wasserwerk, dass mittlerweile besonders viele Cyberattacken von Rechnern in China ausgeführt werden.

kpg



© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.