Schadsoftware »Hyperbro« Verfassungsschutz warnt Unternehmen vor chinesischen Hackern

Das Bundesamt für Verfassungsschutz fürchtet eine neue Welle chinesischer Hackerangriffe auf deutsche Firmen. Nach SPIEGEL-Informationen waren die Attacken teils bereits erfolgreich.
Gebäude des Bundesamts für Verfassungsschutz in Köln: »Cyberspionagekampagne durch die Cyberangriffsgruppierung APT 27«

Gebäude des Bundesamts für Verfassungsschutz in Köln: »Cyberspionagekampagne durch die Cyberangriffsgruppierung APT 27«

Foto: Oliver Berg/ dpa

Das Bundesamt für Verfassungsschutz warnt vor einer neuen Welle von Hackerangriffen aus China auf deutsche Unternehmen. Dem Amt lägen »Erkenntnisse über eine anhaltende Cyberspionagekampagne durch die Cyberangriffsgruppierung APT 27 vor«, heißt es in einem Rundschreiben des Verfassungsschutzes, das dem SPIEGEL vorliegt.

Hinter dem Kürzel APT 27 verbirgt sich nach Überzeugung der deutschen Dienste eine chinesische Hackergruppe, die auch unter dem Namen »Emissary Panda« bekannt ist. In der Vergangenheit wurde sie bereits für Attacken auf westliche Regierungsstellen verantwortlich gemacht.

Aktuell werde eine »Zunahme von Angriffen gegen deutsche Ziele« durch die Hackergruppe beobachtet, warnt der Verfassungsschutz. Nach SPIEGEL-Informationen haben die Angreifer unter anderem Unternehmen aus den Bereichen Pharma und Technologie im Visier. In einzelnen Fällen sollen die Attacken bereits erfolgreich gewesen und Daten abgeflossen sein.

Es kann laut Verfassungsschutz nicht ausgeschlossen werden, dass die Täter »neben dem Diebstahl von Geschäftsgeheimnissen und geistigem Eigentum« auch versuchen könnten, zusätzlich in Netzwerke von Kunden und Dienstleistern der Firmen einzudringen. Solche sogenannten Supply-Chain-Angriffe können dazu genutzt werden, um mit einer Attacke mehrere nachgelagerte Unternehmen zu infiltrieren.

Für ihre Angriffe verwenden die Täter laut Verfassungsschutz eine Schadsoftware namens »Hyperbro«, unter anderem sollen sie Lücken in einer Software namens AdSelfService Plus  des indischen Herstellers Zoho ausnutzen. Über diese können Unternehmen Zugänge zu wichtigen Firmenkonten und Cloud-Diensten verwalten und zurücksetzen.

Außerdem versuchten die Angreifer mithilfe einer Schwachstelle bei Microsoft Exchange, in die Systeme ihrer Opfer einzudringen. Vor dieser massiven Sicherheitslücke, die bereits seit März 2021 bekannt ist, haben deutsche Behörden wiederholt gewarnt. Dennoch haben offenbar auch Monate später noch immer nicht alle Unternehmen reagiert und die Lücke geschlossen.

Mit seinem Rundschreiben veröffentlichte der deutsche Verfassungsschutz auch zahlreiche technische Details, darunter eine Liste von IP-Adressen, die zu den Steuerungs-Servern für die Schadsoftware gehören sollen, sowie eine Liste von Indikatoren, die auf eine Infektion hinweisen. Solche Informationen zu veröffentlichen, soll einerseits IT-Experten helfen, Angriffe zu entdecken und abzuwehren. Andererseits verbinden Behörden damit oft auch die strategische Botschaft an die Angreifer, dass man ihren Methoden auf der Spur ist.

Verfassungsschutz warnt schon länger vor Angriffen aus China

Im vergangenen Jahr hatte der Verfassungsschutz bereits vor einer Zunahme von Hackerangriffen Chinas auf deutsche Politiker und Parteien gewarnt. »Derzeit nehmen Aufklärungsaktivitäten chinesischer Cyberangriffsgruppierungen bei politischen Stellen in Deutschland zu«, hieß es in einem vertraulichen Bericht der Behörde für die Innenministerkonferenz.

Diese Angriffsversuche richteten sich »gegen Abgeordnete und private E-Mail-Konten politischer Gruppierungen«. Betroffen seien auch E-Mail-Accounts und Internetpräsenzen von Parteien sowie die Mail­adressen von Mitarbeiterinnen und Mitarbeitern der Bun­desverwaltung und der Bundeswehr.

wow/hpp