Chinesische Spionage-Software infiltriert Rechner tibetischer Exil-Regierung [Update]

Kanadische Wissenschafter haben ein aus China kontrolliertes Spionage-Netzwerk entdeckt. 1295 Rechner in 103 Ländern wurden befallen, darunter PCs der in Indien residierenden tibetischen Exil-Regierung des Dalai Lama.

In Pocket speichern vorlesen Druckansicht 570 Kommentare lesen
Lesezeit: 4 Min.

Wissenschafter des in Toronto ansässigen Munk Centre for International Studies haben bei einer Überprüfung des Rechnersystems der in Indien residierenden tibetischen Exil-Regierung des Dalai Lama das bislang größte computergesteuerte Spionage-Netzwerk entdeckt. Das von ihnen als Ghostnet bezeichnete Netzwerk würde von fast ausschließlich in China stationierten Rechnern kontrolliert und habe in den vergangenen zwei Jahren 1295 Rechner in 103 Ländern befallen. Pro Woche kämen etwa ein dutzend Rechner hinzu. Dabei gehe das Bot-Netz nicht wahllos vor, sondern versuche gezielt, Rechner von Regierungen und Botschaften aus dem asiatischen Raum zu infiltrieren.

Der Dalai Lama hatte im Sommer vergangenen Jahres zwei Mitarbeiter des Information Warfare Monitor eingeladen, das Computersystem der tibetischen Exil-Regierung auf Sicherheitsmängel zu überprüfen. Dabei waren die Forscher dem Ghostnet auf die Spur gekommen.

Der Dalai Lama wurde Opfer einer gezielten Attacke eines aus China gesteuerten Spionage-Netzes.

(Bild: The Office of His Holiness the Dalai Lama)

Die Spionage-Software könne nicht nur den Mail-Verkehr und Dokumente der befallenen Rechner überwachen, sondern den kompletten PC fernsteuern und angeschlossene Kameras und Mikrofone zur Raumüberwachung einschalten. Dies habe in der Vergangenheit für die tibetanische Exil-Regierung bereits handfeste Konsequenzen gehabt. So habe sich die chinesische Regierung bei einem Diplomaten gemeldet und ihm von einem Besuch des Dalai Lama abgeraten, nachdem dieser per E-Mail eingeladen worden war. Eine Aktivistin, die Kontakte zwischen Exil-Tibetern und Chinesen vermittelte, sei von den chinesischen Behörden an der Grenze zu Tibet festgenommen worden. Die Beamten hätten ihr abgehörte Mail-Korrespondenzen gezeigt und sie aufgefordert, ihre politische Arbeit einzustellen.

Trotz dieser Vorkommnisse halten sich die kanadischen Wissenschaftler zurück, das Bot-Netz der chinesischen Regierung zuzuordnen. Es sei auch möglich, das patriotische Privatpersonen aus China oder gar die CIA oder Russland hinter dem Spionage-Netzwerk stünden. Ein chinesischer Konsulats-Sprecher stritt in New York jedwede Verbindungen der chinesischen Regierung zu dem Bot-Netz ab. "Das sind alte Geschichten und sie sind Unsinn," sagte er gegenüber der New York Times. "Die chinesische Regierung verbietet streng jedwede Cyber-Verbrechen und beteiligt sich nicht an ihnen."

Derweil beschuldigen Wissenschafter der britischen Cambridge Universität, die parallel ebenfalls das Bot-Netz untersuchten, in ihrem detaillierten Bericht direkt die chinesische Regierung. Demnach wurde die Spionage-Software in Mails vorgeblicher anderer Mönche an tibetische Mönche verschickt. Die Angreifer drangen vermutlich in einen tibetischen Mail-Server ein, lasen den Mail-Verkehr mit und konnten anhand der gewonnenen Informationen gefälschte E-Mails verschicken oder Dateianhänge echter E-Mails gegen infizierte austauschen. Die Spionage-Software verbarg sich mittels Rootkit-Techniken im Windows-System und sendete über das HTTP-Protokoll Dokumente und E-Mails an Server in der chinesischen Provinz Sichuan. Um die Verbindungen zu verschleiern, sollen die geklauten Dokumente später über anoymisierende Proxy-Server des Dynaweb verschickt worden sein, die der Falun-Gong-Sekte zugeordnet werden. Mit Hilfe eine Key-Loggers konnte die Software sämtliche Tastatureingaben überwachen. Ein Mönch berichtete gar, wie sich vor seinen Augen die Outlook-Express-Software öffnete und ohne sein Zutun eine infizierte Mail an einen seiner Bekannten verschickte.

[Update]:
Während die Webseite des Information Warfare Monitor noch immer offline ist, wurde dessen Studie inzwischen online veröffentlicht. Nach dem Report finden sich unter den 1295 infizierten Rechnern auch Systeme der Außenministerien im Iran, in Bangladesh, Litauen, Indonesien, den Philippinen, Brunei, Barbardos und Bhutan. Hinzu kommen Konsulate von Indien, Süd-Korea, Indonesien, Rumänien, Zypern, Malta, Thailand, Taiwan, Portugal, Pakistan und Deutschland, das Sekretariat der ASEAN (Association of Southeast Asian Nations), die South Asian Association for Regional Cooperation (SAARC), die Asian Development Bank, Nachrichtenorganisationen sowie ein Rechner im NATO-Hauptquartier. (hag)