Sicherheitsforscher der Cybersicherheitsfirma Recorded Future fanden einen Zusammenhang zwischen erhöhten Scanaktivitäten vor und nach dem Zeitraum, in dem eine US-Handelsdelegation nach China gereist ist. Diese Aktivitäten konnten zurückverfolgt werden zu einer chinesischen Eliteuniversität in Beijing. Demnach wollten die Chinesen sich Verhandlungsvorteile in den Gaspipeline-Verhandlungen im Wert von 43 Milliarden US-Dollar verschaffen durch das Erschnüffeln von Daten. Ob sie erfolgreich waren, lies sich allerdings nicht feststellen.

Die Handelsdelegation bestehend aus Vertretern verschiedener Unternehmen und Unternehmensberatern aus dem Bundesstaat Alaska sowie dem Gouveneur Bill Walter, reisten im Mai dieses Jahres nach China.

Die Forscher registrierten erhöhte Scanaktivitäten der Netzwerke der beteiligten Unternehmen und Regierungsbehörden und Internet Service Providern. Gescannt wurde nach Sicherheitsschwachstellen. Welche Hackergruppe hinter diesen Scanaktivitäten steckt, ist nicht bekannt. Die Forscher von Recorded Future konnten herausfinden, dass Rechner der Tsinghua Universität für die Scan verwendet wurden. Der Universität kommentierte auf Anfrage der Forscher, ihnen seien solche Vorgänge nicht bekannt. Die Tsinghua Universität ist eng verbunden mit dem staatlich unterstützten Unternehmen Tsinghua Holdings. Dieses Unternehmen ist spezialisiert auf die Entwicklung verschiedener Technologien wie künstlicher Intelligenz und Robotik.

Die Forscher erkannten über 1 Million Verbindungen zwischen den chinesischen Hackern und den Netzwerken in Alaska im Zeitraum zwischen dem 6. und 24. Juni. Das war der Höhepunkt der Scanaktivitäten. Angefangen haben diese Aktivitäten Ende März. Das war der Zeitpunkt, an dem die US-Handelsmission offiziell bekannt gegeben wurde. Die Scans ebbten erst am 20. Mai ab, als die Delegation in China eintraf, um am 28. Mai erneut anzusteigen, als sie abreiste. Danach war es relativ ruhig bis zum 20. Juni. Gouverneur Walker hatte tags zuvor bekannt gegeben, dass er sich mit US-amerikanischen und chinesischen Vertretern in Sachen Präsident Trumps Handelskrieg mit China traf. Vier Tage lang wurden die Abteilung für natürliche Ressourcen und die Netzwerke des Bundesstaats Alaska daraufhin intensiv gescannt. Die Forscher fanden unter den Scanaktivitäten auch Angriffe auf Safety NetAccess, einem Unternehmen, das drahtlose Netzwerke für Hotels anbietet. Zu dessen Kunden zählen große internationale Hotelketten.

Ein Sprecher des Gouverneurbüros in Alaska sagte interessanterweise zu dem Vorfall:

„Der Staat Alaska ist, wie die meisten Landesregierungen, von anonymen Aktivitäten auf unsere Netzwerke betroffen. Das bedeutet nur, dass jemand überprüft, ob die Tür abgeschlossen ist. Die Aktivität, auf die hier Bezug genommen wird, ist nicht besonders einzigartig.“

Priscilla Moriuchi, Verantwortliche für Entwicklung strategischer Bedrohungen bei Recorded Future und ehemaliger Leiterin des National Security Agency Büros für Cyberbedrohungen in Ostasien und Pazifik müsste berufsbedingt jedoch einen guten Riecher für derlei Aktivitäten haben. Sie sagte in ihrem Bericht an das FBI, dass die Scans „hochgradig fokussiert, umfangreich und eigenartig“ gewesen seien und auf ein „ernsthaftes Interesse“ hinweisen. Gleichzeitig konnte sie nicht bestätigen, dass die gescannten Systeme kompromittiert wurden.

IT-Sicherheitsexperte John Pescatore denkt dazu:

„Wenn ein Unternehmen physische Sicherheitsmaßnahmen hat, überprüft jemand, ob die Türen verriegelt sind und die Alarmanlage wird jede Nacht eingeschaltet. Wenn Ihr Unternehmen ein Dach hat, überprüft jemand, ob das Dach undicht ist. Wenn die Kriminellen (oder Regentropfen) aus China, Russland oder dem Iran oder Sheboygan oder Granite City stammen, ändert dies nichts an den grundlegenden Sicherheitshygienemaßnahmen. Diese Art von Schlagzeilen birgt die Gefahr, dass CEOs und Aufsichtsräte von Unternehmen sagen: ‚Nun, wir sind aber nicht einer dieser sexy Branchen, die für China oder Russland interessant sind. Sie werden kein Interesse an uns haben.‘ “

Werden Penetrationstests vorab schon durchgeführt, können die Sicherheitslücken entdeckt werden, bevor die echten Angriffe kommen.

Wie Recorded Future den Scans von China auf die Spur kam

Die Forscher hatten sich intensiv mit den chinesischen RedAlpha-Kampagnen gegen die tibetische Gemeinschaft befasst. Dabei entdeckten sie eine neuartige Linux-Backdoor namens „ext4“, die gegen diese tibetische Gruppe eingesetzt wurde. Bei Analyse von ext4 stellten sie wiederholte Verbindungsversuche zu ein und demselben kompromittierten CentOS-Webserver fest. Er gehörte zu einer Netzwerkinfrastruktur, die auf Tsinghua1 University registriert war.

Sie nahmen auch Netzwerkaufklärungsaktivitäten unter die Lupe, die von dort gegen viele geopolitische Organisationen abzielte. Dazu gehörten die Bundesregierung von Alaska, deren Abteilung für natürliche Ressourcen sowie auch das Büro der Vereinten Nationen in Nairobi und die kenianische Hafenbehörde. Außerdem deckten sie dabei das gezielte Scannen des Automobilkonzerns Daimler auf. Der Daimler-Scan begann einen Tag nach der Bekanntgabe der Senkung der Gewinnaussichten für das laufende Geschäftsjahr, die mit den wachsenden Handelsspannungen zwischen den USA und China zusammenhing. Recorded Future geht davon aus, dass die entdeckten Aktivitäten von staatlich gesponserten chinesischen Akteuren durchgeführt wurden, um die wirtschaftlichen Entwicklungsziele Chinas zu unterstützen.

Die Tsinghua IP 166.111.8 [.] 246 war an Netzwerkaufklärungsorganisationen beteiligt gegen Organisationen in Alaska, Kenia, Brasilien und der Mongolei während der Handelsaktivitäten. Die Tsinghua Universität ist einer der wichtigsten Technischen Universitäten Chinas. Leider haftet allen derartigen chinesischen Universitäten an, dass sie direkt oder indirekt mit staatlichen Cyberangriffen in Verbindungen stehen.

Das gilt auch für Tsinghua und kommt nicht von ungefähr: Die Universität hat schon viele hervorragende Cyberexperten hervorgebracht. Dazu gehört die Blue-Lotus Forschergruppe, Zweitplatzierte im DEF CON 2016. Forschungsabteilungen der Universität haben auch bekannte Verbindungen zu staatlichen Organisationen die US-Technologie gestohlen haben. Und so verwundert es auch nicht, dass das Tsinghua Büro für wissenschaftliche Forschung und Entwicklung sich im Mai 2018 mit der China CITIC Group für Aktivitäten der Kommunistischen Partei traf. Dabei gings, unschwer zu erraten, um die strategische Zusammenarbeit zwischen Unternehmen und Forschungseinrichtungen in China, um der Entwicklung der VRC zu dienen.

Von den Forschern aufgezeichnete IP-Anreicherungen zeigen, dass die Uni in der Vergangenheit Scanning-, Brute-Force-Angriffe und aktiven Ausbeutungsversuche durchgeführt hat. Sie lösten dabei auch mehrere Risikoregeln aus, unter anderem beim Taichung City Education Bureau in Taiwan, das bösartige Cyberindikatoren chinesischen Ursprungs verfolgt. Die Tshinghua Universität findet sich auch in einer AlienVault-Blackliste wieder. Die Metadaten-Analyse der IP-Adresse zeigte den Forschern auch an, dass es sich wahrscheinlich um ein Gateway, ein NAT oder einen Proxy handelt und dass der eigentliche Ursprungscomputer für diese Aktivität hinter dieser IP-Adresse liegt.

Was die Zukunft bezüglich der Spionage und Chinas Cyber-Angriffe bringt

China wird weiterhin verstärkt Cyberoperationen durchführen, das steht außer Frage. Der chinesische Staat hält dadurch auch ein wachsames auch auf Bedrohungen von innerhalb Chinas. Mit solchen, unter Sicherheitsexperten als „Five Poisons“ – Fünf Giften bezeichneten Aktionen, können internationale Sicherheitsforscher aber recht einfach neue Kampagnen und Instrumente der chinesischen Cyberakteure identifizieren. Es zeigt sich, dass diese insbesondere sehr aggressiv gegen verfolgte Gemeinschaften eingesetzt werden.

Schon bisher hat China mit diesen Methoden Einfluss genommen auf ihre Investitionsengagements in vielen Ländern, darunter Entwicklungsländer wie Kenia, Brasilien und der Mongolei. Recorded Future geht mit ziemlicher Sicherheit davon aus, dass die allermeisten zukünftigen Aktionen dabei weiterhin von den schlauen Studenten der Tshingua Universität ausgehen werden. Es sei daher dringend ratsam, sich immer gegen solche Angriffe zu wappnen – ganz egal, um welche Art Unternehmen es geht.

Artikel von reuters.com, 16.08.2018: Chinese hackers targeted U.S. firms, government after trade mission: researchers
Artikel von cnet.com, 16.08.2018: Chinese hackers targeted US agencies during trade talks
Artikel von recordedfuture.com, 16.08.2018: Chinese Cyberespionage Originating From Tsinghua University Infrastructure

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0