SPIEGEL ONLINE

SPIEGEL ONLINE

19. Februar 2013, 08:10 Uhr

Attacken auf US-Konzerne

Hacking-Verdacht gegen Chinas Armee

Seit Jahren überzieht die "Shanghai-Gruppe" große US-Unternehmen mit Cyber-Attacken. Eine Studie legt nun nahe: Die Hacker-Truppe könnte in direktem Auftrag der geheimnisvollen chinesischen Armee-Einheit 61398 handeln. Die Spur führt in ein unscheinbares Hochhaus am Rand von Shanghai.

New York/Shanghai - Eine der Schaltzentralen der internationalen Cyber-Kriminalität steht am Stadtrand von Shanghai. Das Bürogebäude misst zwölf Stockwerke und macht von außen nicht viel her. Eine US-Studie, aus der die "New York Times" vorab zitiert legt jedoch nahe: In dem Gebäude logiert die Militäreinheit 61398 - und von hier sollen in den vergangenen Jahren gigantische Hacker-Attacken auf US-Konzerne gestartet worden sein.

Die Studie der Sicherheitsfirma Mandiant wird am Dienstag vorgestellt. Das 60-Seiten-Papier bringt die Einheit 61398 in direkte Verbindung mit dem berüchtigten Hacker-Verbund "Shanghai Gruppe". Die war in der Vergangenheit für Cyber-Angriffe auf Firmen wie Coca-Cola verantwortlich.

Zuletzt konzentrierten sich die Attacken jedoch zunehmend auf wichtige Teile der US-Infrastruktur. So wurden Energieversorger ebenso angegriffen wie Datenbanken der Regierung. Dabei wurden umfangreiche Dokumente entwendet - Baupläne, Gerichtsakten, Preislisten. Ein Angriff galt einer Firma, die Zugriff auf rund 60 Prozent der Gas- und Ölpipelines in Nordamerika hat.

Für die Cyber-Angriffe auf die "New York Times" und andere US-Medien in den vergangenen Wochen sind die Shanghai-Gruppe und die Einheit 61398 jedoch laut der Studie nicht verantwortlich.

In den vergangenen sechs Jahren zählte Mandiant insgesamt 141 Attacken der Gruppe. Die Dunkelziffer dürfte jedoch deutlich höher liegen. Rund 90 Prozent dieser Angriffe konnten zur Zentrale der Einheit 61398 zurückverfolgt werden.

Im Klartext belegt die Studie: Die Hacker-Truppe könnte in direktem Auftrag der chinesischen Armee handeln.

"Es gibt nur diese zwei Erklärungen: Die Angriffe kommen aus der Einheit 61398", sagt Kevin Mandia, Gründer und Geschäftsführer von Mandiant. "Oder da hat sich eine große Hacker-Gruppe mit enormen Ressourcen und Tausenden von Mitarbeitern in der unmittelbaren Nachbarschaft breitgemacht." Internetnutzer in China stehen unter staatlicher Überwachung. Viele Seiten werden zensiert - oder können von China aus gar nicht abgerufen werden.

Der Report schildert unter anderem die exakten Aktivitäten verschiedener Hacker in den gekaperten US-Systemen. Die betroffenen Konzerne hatten Mandiant vollen Zugriff gewährt, um die chinesischen Angreifer loszuwerden.

Die Adresse von Hacker UglyGorilla

Eine der prominentesten Hacker verbirgt sich hinter dem Pseudonym UglyGorilla. Zum ersten Mal war dieser 2004 in einem chinesischen Militärforum aufgetaucht und hatte sich nach Chinas Antwort auf den US-"Cyber-Krieg" erkundigt.

2007 schickte UglyGorilla laut dem Report eine Schadsoftware ins Netz, deren Herkunft sich zurückverfolgen ließ. Dabei nutzte er eine IP-Adresse, die auf die Einheit 61398 verweist.

Aus dem Weißen Haus heißt es, man nehme den Mandiant-Bericht zur Kenntnis. Eine direkte Verbindung zwischen der Hacker-Gruppe und dem chinesischen Militär will man in Washington jedoch derzeit, zumindest öffentlich, nicht ziehen. China weist bisher alle Hacking-Vorwürfe zurück.

Aus US-Regierungskreisen verlautet jedoch, dass auf diplomatischer Ebene schon bald deutliche Worte fallen könnten. Man werde der neuen Führung in Peking klarmachen, dass die Menge der Cyber-Attacken die Beziehung beider Länder nachhaltig beeinflussen könnten, so ein Geheimdienstler.

jok

URL:

Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH