CrowdStrike identifiziert weitere chinesische Hacker-Gruppe
Der E-Mail-Anhang wirkte wie eine Broschüre für ein Yogastudio in Toulouse, Frankreich, dem Zentrum der europäischen Luftfahrtindustrie. Einmal geöffnet, erlaubte er allerdings Hackern, den Netzwerkschutz des Opfers zu umgehen und streng bewachte Satellitentechnologie zu stehlen.
Die gefälschte Yoga-Broschüre war eine der cleveren Methoden einer chinesischen Militäreinheit für Hacking, so Forscher von CrowdStrike. Ihre Ziele waren Netzwerke europäischer, amerikanischer und japanischer Regierungseinheiten, militärischer Unternehmen und Forschungsinstitute in der Raumfahrt- und Satellitenindustrie. Systematisch drangen sie über einen Zeitraum von sieben Jahren in deren Systeme ein.
Nur Wochen nachdem fünf Mitglieder des chinesischen Militärs in den USA wegen Cyberattacken auf amerikanische Unternehmen verurteilt worden waren, lieferte der neue Bericht von CrowdStrike weitere Hinweise auf den Umfang chinesischer Spionageaktivitäten. In dem Bericht werden dutzende von Angriffen gegen Unternehmen des öffentlichen und privaten Sektors mit einer in Shanghai ansässigen Hackergruppe in Verbindung gebracht.
CrowdStrike taufte diese „Putter Panda“, da ihre Opfer häufig Golf spielende Konferenzteilnehmer waren. Insgesamt verfolgen die NSA und deren Partner derzeit mehr als 20 chinesische Hackergruppen. Die Hälfte dieser ist Teil der Volksbefreiungsarmee. Ziel sind Unternehmen des öffentlichen und privaten Sektors von Satelliten-, Drohnen- und Nuklearwaffenherstellern bis hin zu Technologie- und Energieunternehmen sowie Forschergruppen.
Nachrichten über derartige Aktivitäten, die weiterhin andauern und über die jetzt erstmalig berichtet wird, kommen in Zeiten wachsenden Konflikts zwischen den USA und China wegen Cyberspionage. Zwar gab es seit Jahren Spannungen, aber als letztes Jahr die US-amerikanische Firma Mandiant eine Hackergruppe für mehrere tausend Attacken auf ausländische Unternehmen verantwortlich machte, verschärfte sich der Ton. Nach der Verurteilung von fünf Chinesen wiesen chinesische Amtsträger die Vorwürfe von sich und bezichtigten die USA selbst der Cyberspionage. Sie kündigten neue Inspektionsmethoden für in den USA produzierte Technologien an, was Hinweise auf einen Handelskrieg mehrte.
In dem neuesten Fall deckte CrowdStrike auf, dass die Gruppe ihre Malware an die jeweiligen Opfer über E-Mails mit PDF-Anhängen verbreitete. Diese PDFs imitierten Einladungen zu Raumfahrt- und Satellitenkonferenzen, Stellenangebote und eben auch eine Yoga-Broschüre. Beim Klick auf die Datei lud das Opfer sofort ein bösartiges Programm auf den Rechner. Dieses öffnete die Türen für die Angreifer, um in das jeweilige Netzwerk einzudringen und darüber Handelsgeheimnisse und Skizzen für Raumfahrt- und Satellitentechnologie zu erhalten. Die Liste der Opfer könnte mehrere hundert, eventuell sogar tausende Institutionen enthalten.
Da die Hacker in einigen Fällen unvorsichtig agierten und die für die Attacken genutzte Webseiten unter Adressen registrierten, die sie auch für andere Dinge nutzten, kamen ihnen die Forscher von CrowdStrike auf die Schliche. So nutzte einer der Angreifer eine E-Mail-Adresse, die auch für einen ehemaligen Studenten der Shanghai Jiao Tong Universität registriert war. Schon seit langem wird vermutet, dass die Universität eine Quelle von Nachwuchs-Hackern darstellt. Eine andere E-Mail-Adresse wurde auch für die Registrierung eines persönlichen Blogs in einem chinesischen Internetportal genutzt. Der 35-jährige Besitzer gibt als Beruf eine militärische Funktion an. Im Hintergrund von Fotos in seinem Picasa-Album finden sich weitere Hinweise auf die chinesische Volksbefreiungsarmee.
CrowdStrikes Mitbegründer Kurtz:
„Das Thema findet zwar mehr Beachtung. Aber die Chinesen sind unaufhaltsam. Sie rollen unaufhörlich weiter.“
Artikel von crowdstrike.com, Juni 2014: Putter Panda, PLA Army 3rd Department 12th Bureau Unit 61486
Artikel von nytimes.com, 10.06.2014: 2nd China Army Unit Implicated in Online Spying