Expertenbericht China hinter langjähriger Cyberspionage in Asien vermutet

Eine Hackergruppe soll Regierungen und Unternehmen in Südostasien und Indien ausspioniert und manipuliert haben. Die IT-Sicherheitsfirma FireEye vermutet China hinter den Aktionen.
Cyber-Kriminalität (Symbolbild): Hacken spähten Regierungen aus

Cyber-Kriminalität (Symbolbild): Hacken spähten Regierungen aus

Foto: DPA

Der Angriff war von langer Hand geplant, mit viel Aufwand und Zielbewusstsein durchgeführt worden. Am 11. März 2004 registrierte eine Hackergruppe eine Internet-Domain als anonymen Datenstützpunkt. Ein Jahr später stellten die Unbekannten die erste Version eines neuen Schadprogramms fertig, mit dem sie zielgenau Regierungs- und Wirtschaftsinstitutionen in Thailand, Südkorea, Vietnam, Indien und Malaysia angriffen.

Seit damals entwickelten die Hacker ihre Software immer weiter. Mehr als 200 Versionen des Schadprogramms stellten sie fertig, tricksten sich mit Phishing-Mails und manipulierten Dokumenten in Firmen- und Regierungsnetze und konnten sogar vom Internet abgetrennte Rechnernetzwerke infiltrieren.

Erst zehn Jahre später fiel den Sicherheitsexperten der IT-Firma FireEye  die Masche auf, als sie immer mehr Exemplare der bislang unbekannten Malware auf besonders schützenswerten Computern entdeckten.

Was die Forscher dort fanden (PDF ), war gute Software-Arbeit, aber kein Programmierwunder wie Stuxnet, Flame oder wie die Schadprogramme der "Equation Group". Trotzdem bezeichnen die FireEye-Experten die aufgedeckten Angriffe als herausragend: weil die Täter so lange ungestört agieren konnten.

Infektion per E-Mail

Um ihre Ziele zu infizieren, verschickten die Hacker zielgerichtet fingierte E-Mails mit angeblich wichtigen Dokumenten. Wer diese Dokumente öffnete, öffnete zugleich eine Hintertür für die Hacker, die automatisch ihre Schadprogramme auf den nun geöffneten Rechner schleusten.

Einmal eingenistet, suchten die Programme nach relevanten Dokumenten und schickten sie heimlich an die Angreifer. Andere Software-Versionen infizierten Wechsellaufwerke oder konnten sich in eine Art digitalen Winterschlaf versetzten, um langfristig einer Entdeckung zu entgehen.

Ziel der Angriffe, das ergab die Analyse der Schadsoftware, war der Informationsdiebstahl für politische Zwecke. Und diese Zwecke, zusammen mit der regionalen Auswahl der Ziele, ergaben ein Muster: Die Ziele der Hacker "stimmen mit den Interessen der chinesischen Regierung überein", schreiben die FireEye-Analysten und "konzentrieren sich auf Südostasien und Mitglieder des Verbands Südostasiatischer Nationen (ASEAN)". So wurde etwa für den ASEAN-Gipfel im April 2013 eigens eine passende Malware angefertigt.

"Aufgrund des langfristigen und geplanten Unterfangens und der regionalen Ziele und Aufträge der Gruppe glauben wir, dass diese Aktivitäten staatlich unterstützt wurden - höchstwahrscheinlich von der chinesischen Regierung."

Schwache Indizienkette

Doch solche Schuldzuschreibungen sind bei Hackangriffen immer problematisch. Und so liefert FireEye auch nur eine schwache Indizienkette:

Die langfristige Planung deutet auf langfristige Mission hin. Die Hacker seien ein gut organisiertes, in Schichten arbeitendes Team mit einem definierten Arbeitsablauf. Die Ziele der Schadsoftware könnten über eine Steuerzentrale priorisiert werden, vor allem ginge es um den Diebstahl sensibler Daten für die Spionage von Regierungen - die Auswertung dieser Ziele habe einen gemeinsamen Nenner ergeben: China.

Dass aber die Steuersoftware der Schadprogramme ganz in chinesischer Sprache geschrieben ist, wird nur nebenbei erwähnt. Vielleicht weil das trotz Stichhaltigkeit der am wenigsten spektakuläre Hinweis für China als Drahtzieher der Cyberspionage ist.

kno
Die Wiedergabe wurde unterbrochen.