Lukrativer Nebenverdienst für Chinas Cyberspione

Hochranginge Hacker der chinesischen Regierung, der ihr Geld mit Spionage gegen geopolitische Gegner verdienen, verdienen zunehmend mit zwielichtigen Operationen wie Videospiel-Hacks dazu.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Hacker

(Bild: dpa, Frank Rumpenhorst)

Lesezeit: 4 Min.
Von
  • Patrick Howell O'Neill

Die Hacker hinter einer ausgeklügelten siebenjährigen Geheimdienstoperation der chinesischen Regierung setzen ihre Talente gleichzeitig auch für ihren persönlichen Profit ein. Laut dem US-Sicherheitsunternehmen FireEye gehören vor allem die Kryptowährungs- und Videospielbranchen zu ihren Zielen. Die Aktivitäten der Gruppe namens „APT41“ stellen damit eine seltene Überlappung für ein Land wie China dar, in dem die Welten der Spionage und der Cyberkriminalität in der Regel völlig unterschiedlich sind.

„Die Verbindungen von APT41 sowohl zu verborgenen Marktplätzen als auch zu staatlich geförderten Aktivitäten deuten darauf hin, dass die Gruppe über Schutzmaßnahmen verfügt, die es ihr ermöglichen, eigene gewinnorientierte Aktivitäten durchzuführen, oder dass die Behörden sind bereit, über diese hinwegzusehen", schreiben die Forscher in einem Anfang August veröffentlichten Bericht. „Es ist auch möglich, dass sich APT41 der Kontrolle durch die chinesischen Behörden entzogen hat. So oder so verdeutlichen diese Operationen eine Grauzone zwischen Staatsmacht und Kriminalität, die im Herzen der Bedrohungsökosysteme liegt.“

Die Hacking-Gruppe begann ihre Karriere, schreibt FireEye, wie viele andere staatlich geförderte chinesische Hacker der letzten Jahre: Indem sie geistiges Eigentum aus der Medizintechnik- und Pharmaindustrie im Ausland stahl. Nachdem der chinesische Präsident Xi Jinping und der amerikanische Präsident Barack Obama 2015 eine Einigung gegen den Diebstahl von geistigem Eigentum erzielt hatten, änderten sich die Ziele von APT41. In jüngster Zeit sorgte sie mit schweren Beeinträchtigungen der Lieferkette bei Unternehmen wie dem taiwanesischen Technologieunternehmen Asus für Schlagzeilen.

Zuerst dringen die Hacker in die Softwarefirmen und schleusen Malware in legitime Dateien ein. Anschließend verbreiten sie diese weitläufig als Updates. Mit dieser Taktik infizierten sie Zehntausende von Computer. Hauptsächlich nutzten die Hacker die kompromittierte Software allerdings dafür, um eine kleinere Gruppe von Personen auf der Basis von individuellen Systemkennungen anzugreifen.

Die auch als Barium und Winnti bekannte Gruppe ist Cybersicherheits-Verteidigern auf der ganzen Welt bekannt. Sie verwendet eine breite Palette von Techniken, um im System eines Ziels Fuß zu fassen, darunter gut ausgearbeitetes „Spearphishing“, gestohlene Anmeldeinformationen, die TeamViewer-Software für Fernzugriff und die „China Chopper“-Webshell, berichtete FireEye. Sind sie einmal drin, verwendet APT41 Dutzende von Malware-Familien für mehrere parallel durchgeführte Operationen. Darunter war auch eine einjährige Kampagne, in der „nahezu 150 einzigartige Malware-Teile wie Hintertüren, Abgreifer von Anmeldeinformationen, Keylogger und Rootkits verwendet wurden“, so FireEye.

Mit all seinen Werkzeugen, Fähigkeiten und nachgewiesenen Erfolgen ist APT41 so etwas wie ein Schweizer Taschenmesser für chinesische Taktiker. Die Gruppe hat nicht nur Anruflisten von Telekommunikationsunternehmen sowie Nachrichtenmedien ins Visier genommen, sondern sogar das Reservierungssystem eines Hotels kurz vor der Ankunft chinesischer Beamter. Nach dem Abkommen von 2015 änderte seine Aufgabe dramatisch von staatlich sanktioniertem Diebstahl zu Aufgaben wie der Überwachung von Personen, die für Peking von Interesse sind.

Zur gleichen Zeit, in der die Gruppe diese geopolitischen Kampagnen durchführt, nutzt sie viele der gleichen Taktiken, um Ziele für finanzielle Gewinne zu hacken. Es wurde beobachtet, dass APT41 die Lieferketten von Videospielunternehmen gefährdet. Mit dem Zugriff auf die Produktionsumgebung eines Spiels generierte die Gruppe Dutzende Millionen Dollar in der virtuellen Währung des Spiels, die dann wahrscheinlich auf illegalen Märkten verkauft wurde.Sie wendeten auch klassische Taktiken der Internetkriminalität wie einen Ransomware-Angriff und ein Erpressungsversuch gegen eine Spielefirma an, wenn die virtuelle Währung des Spiels nicht wertvoll genug war, um monetarisiert zu werden.

„APT41 hat sich wiederholt auf die Videospielbranche konzentriert“, sagen die Forscher, „und wir glauben, dass diese Aktivitäten für die späteren Spionageoperationen der Gruppe prägend waren.“ Trotz der erheblichen Überschneidungen gibt es eine klare Trennung zwischen der eigentlichen Spionagearbeit und den profitablen Nebenaktivitäten: Fortgeschrittenere Strategien und Malware sind in der Regel immer noch den von Peking ausgewählten großen Zielen vorbehalten.

(vsz)