Wenn es um die Umtriebe staatlicher Hacker geht, stehen wegen des Kriegs in der Ukraine derzeit vor allem russische T\u00e4tergruppen unter versch\u00e4rfter \u00f6ffentlicher Beobachtung. Deutsche und internationale Geheimdienstler hingegen betonten zuletzt auffallend oft die anhaltende und zunehmende Bedrohung aus China. \u00bbRussland ist der Sturm, China der Klimawandel\u00ab, sagte etwa der Chef des Bundesamts f\u00fcr Verfassungsschutz (BfV), Thomas Haldenwang, gleich bei mehreren Gelegenheiten.<\/p>\n
Die Warnungen vor Cyberangriffen aus China kommen nicht von ungef\u00e4hr, sowohl die Armee als auch das Ministerium f\u00fcr Staatssicherheit verf\u00fcgen \u00fcber schlagkr\u00e4ftige Hackereinheiten. Schon seit Jahren beobachten deutsche Verfassungssch\u00fctzer eine besonders versierte Gruppierung, die unter dem Namen APT15 (auch Vixen Panda oder Ke3chang) bekannt und ber\u00fcchtigt ist. Das K\u00fcrzel APT steht f\u00fcr Advanced Persistent Threat, also eine hoch entwickelte, lang anhaltende Bedrohung. Tats\u00e4chlich geh\u00f6rt die Gruppe zu den Veteranen unter den staatlichen Hackereinheiten, ihre Spuren lassen sich bis mindestens ins Jahr 2010 zur\u00fcckverfolgen.<\/p>\n
In den vergangenen Jahren, so die Beobachtung der deutschen Geheimdienstler, ver\u00e4nderte sich bei ihr und anderen chinesischen Cybertruppen allerdings das Zielspektrum. Galten ihre Angriffe zun\u00e4chst vorwiegend au\u00dfereurop\u00e4ischen Einrichtungen, geraten seit einigen Jahren zunehmend europ\u00e4ische Organisationen ins Visier. Neben Unternehmen trifft es zudem immer mehr politische Einrichtungen, die ausspioniert werden sollen \u2013 auch hierzulande.<\/p>\n
Bereits im Dezember 2021 drangen die chinesischen Staatshacker nach Informationen von SPIEGEL, ZDF und \u00bbStandard\u00ab erfolgreich in die Systeme einer deutschen Bundesbeh\u00f6rde ein: Es traf das Bundesamt f\u00fcr Kartographie und Geod\u00e4sie mit Hauptsitz in Frankfurt am Main, das Satelliten- und Geodaten auswertet und daraus unter anderem f\u00fcr Sicherheitsbeh\u00f6rden hochdetaillierte Karten aufbereitet. Auf Anfrage best\u00e4tigt das Amt den Vorfall, der bislang nicht \u00f6ffentlich geworden war. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik habe die Beh\u00f6rde \u00bbfr\u00fchzeitig\u00ab \u00fcber den Angriff informiert, somit habe man \u00bbrechtzeitig geeignete Ma\u00dfnahmen\u00ab ergreifen k\u00f6nnen. Allerdings habe man bei den anschlie\u00dfenden forensischen Untersuchungen \u00bbfestgestellt, dass ein Netzbereich kompromittiert wurde\u00ab. Mittlerweile sei der \u00bbWiederaufbau des Netzwerks\u00ab erfolgt, so das Bundesamt.<\/p>\n
Dieser Vorfall und die verst\u00e4rkten Aktivit\u00e4ten von APT15 trieben die deutschen Verfassungssch\u00fctzer, die ebenfalls eingebunden waren, in der Folge so sehr um, dass sie dazu eine internationale Kooperation initiierten. Mindestens zw\u00f6lf L\u00e4nder haben zuletzt \u00fcber Monate hinweg Erkenntnisse in einen gemeinsamen Bericht zu APT15 einflie\u00dfen lassen, wie der SPIEGEL aus mehreren Quellen erfuhr. Das Papier aus diesem Fr\u00fchjahr, zu dem unter anderem Dienste aus den Niederlanden und Frankreich beitrugen, ist als geheim eingestuft.<\/p>\n
Ein Ergebnis seiner Arbeit und seiner neuen Erkenntnisse \u00fcber die Angreiferformation hat das Bundesamt f\u00fcr Verfassungsschutz heute ver\u00f6ffentlicht. Es ist eine dringende Warnung an deutsche Internetnutzerinnen und -nutzer und Unternehmen, verpackt in seine periodische Ver\u00f6ffentlichung namens Cyber-Brief.<\/p>\n
Demnach haben die chinesischen Staatshacker eine perfide Strategie entwickelt, um ihre Spuren zu verschleiern: Sie kompromittieren dazu Endger\u00e4te von Privatpersonen oder kleineren und mittleren Unternehmen \u2013 dabei kann es sich um Internetrouter handeln, um Drucker oder auch Smart-Home-Anwendungen wie Steuerungen f\u00fcr Rolll\u00e4den, Licht, Heizungen oder Solaranlagen.<\/p>\n
Die Hacker missbrauchen die Ger\u00e4te dieser nichts ahnenden Nutzerinnen und Nutzer, um ihre eigentlichen Ziele anzugreifen und auszuspionieren. Dabei handele es sich insbesondere um \u00bbstaatliche und politische Stellen\u00ab, schreibt das BfV.<\/p>\n
\u00bbAnf\u00e4llig f\u00fcr eine solche Kompromittierung sind insbesondere Ger\u00e4te mit bekannten Schwachstellen, vor allem dann, wenn der Support durch den Hersteller eingestellt wurde\u00ab, hei\u00dft es in dem zehnseitigen Schreiben. Solche Ger\u00e4te seien f\u00fcr die Angreifer durch spezielle Suchmethoden leicht auszumachen und aus der Ferne zu knacken.<\/p>\n
Der Missbrauch privater Endger\u00e4te passiere in \u00bbgro\u00dfer St\u00fcckzahl\u00ab. Den Betroffenen falle es nicht auf, da \u00bbin der Regel weder Verbindungsabbr\u00fcche noch anderweitige Auff\u00e4lligkeiten\u00ab auftr\u00e4ten. Die Internetzug\u00e4nge via Router und die betroffenen Smart-Home-Anwendungen funktionierten weiterhin problemlos \u2013 w\u00e4hrend die tausende Kilometer weit entfernt sitzenden Hacker sie f\u00fcr ihre illegalen Operationen missbrauchen.<\/p>\n
Aufgrund der Menge der befallenen Ger\u00e4te k\u00f6nnen sich die Staatshacker im n\u00e4chsten Schritt daraus ein eigenes Verschleierungsnetzwerk aufbauen, eine Art Virtual Private Network (VPN), wie es f\u00fcr legitime Zwecke auch kommerziell angeboten wird. Sie k\u00f6nnen dann \u00fcber mehrere Umwege in die Netzwerke ihrer eigentlichen Opfer vordringen. Deren Abwehrsysteme erkennen nur die IP-Adressen von scheinbar harmlosen inl\u00e4ndischen Privathaushalten oder mittelst\u00e4ndischen Unternehmen.<\/p>\n
Die Inhaberinnen und Inhaber der Ger\u00e4te selbst scheinen f\u00fcr die Angreifer nicht weiter interessant zu sein, sie dienen lediglich als Sprungstelle zur Verdunkelung. Es seien derzeit keine F\u00e4lle bekannt, in denen sie selbst ausspioniert worden seien, hei\u00dft es im BfV-Bericht.<\/p>\n
Offenbar benutzt mehr als eine chinesische Cyberangriffstruppe die zweckentfremdeten Privatger\u00e4te, um ihre Spuren zu verwischen. Neben APT15, das unter anderem mit Angriffen auf diplomatische Ziele und Wirtschaftsunternehmen aufgefallen sei, erw\u00e4hnt der Bericht auch die Formation APT31, die in den letzten Jahren vermehrt Ziele in westlichen L\u00e4ndern angegriffen habe, darunter Ministerien, Beh\u00f6rden, politische Organisationen und Stiftungen. Beide Gruppen seien \u00bbsehr aktiv\u00ab.<\/p>\n
\u00bbEs handelt sich um ein komplexes Verschleierungsnetzwerk, das von vielen chinesischen Hackergruppen verwendet wird\u00ab, sagt auch Adrian Nish von der britischen IT-Sicherheitsfirma BAE Systems. Die Software zur Steuerung dieses Netzwerks werde kontinuierlich weiterentwickelt: Eine neue Funktion erm\u00f6gliche zum Beispiel das automatische Durchtesten von Passw\u00f6rtern. Ist die Eingabe erfolgreich, k\u00f6nnen die Ger\u00e4te gekapert und zum Verwischen der eigenen Spuren genutzt werden.<\/p>\n
Auch die Branchenkollegen von Eset befassen sich seit Jahren intensiv mit Ke3chang alias APT15. In einem ausf\u00fchrlichen Report aus dem Jahr 2019 haben sie eine Reihe fr\u00fcherer Opfer der Staatshacker benannt: Demnach hatten sie allein im Jahr 2017 etwa diplomatische Missionen in der Slowakei, Belgien, Chile, Guatemala und Brasilien angegriffen. Eset best\u00e4tigt die anhaltend hohe Aktivit\u00e4t der Truppe: \u00bbWir sehen weiterhin, dass die Gruppe Regierungsorganisationen und diplomatische Einrichtungen in S\u00fcdamerika und Europa attackiert.\u00ab<\/p>\n
Der aktuelle Cyber-Brief des BfV enth\u00e4lt eine Reihe von Ratschl\u00e4gen, wie Privatpersonen und Unternehmen verhindern k\u00f6nnen, \u00fcber ihre Ger\u00e4te zum Steigb\u00fcgelhalter chinesischer Cyberangreifer zu werden: Das Risiko lasse sich unter anderem dadurch minimieren, immer die neuesten Sicherheitsupdates aufzuspielen und veraltete Ger\u00e4te, die vom Hersteller nicht mehr unterst\u00fctzt werden, durch neue auszutauschen.<\/p>\n
\u00dcber die genaue Anzahl der bisher erkannten feindlich \u00fcbernommenen Router und Smart-Home-Anwendungen ist der Warnung selbst nichts zu entnehmen. Nach SPIEGEL-Informationen soll es sich international um eine vierstellige Zahl handeln, in Deutschland liege sie im hohen zweistelligen bis knapp dreistelligen Bereich.<\/p>\n
In seinem j\u00fcngsten Cyber-Brief vermeidet das Bundesamt die Zuordnung der darin erw\u00e4hnten Gruppierungen APT15 und APT31 zu einem bestimmten Urheberland und spricht nur von \u00bbstaatlich gesteuerten Cyberangriffskampagnen\u00ab. Im j\u00fcngsten Verfassungsschutzbericht vom Juni ist das indes anders. APT15 nutze \u00bbMethoden und Werkzeuge, die eine Urheberschaft staatlich gelenkter Cyberakteure chinesischen Ursprungs vermuten lassen\u00ab, hei\u00dft es darin, und weiter: \u00bbDie Aufkl\u00e4rungsaktivit\u00e4ten von APT15 gegen politische Ziele, beispielsweise gegen Parteien und Regierungsnetzwerke, haben im Berichtszeitraum weiterhin stark zugenommen.\u00ab<\/p>\n","protected":false},"excerpt":{"rendered":"
Wenn es um die Umtriebe staatlicher Hacker geht, stehen wegen des Kriegs in der Ukraine derzeit vor allem russische T\u00e4tergruppen unter versch\u00e4rfter \u00f6ffentlicher Beobachtung. Deutsche und internationale Geheimdienstler hingegen betonten<\/p>\n","protected":false},"author":1,"featured_media":22846,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-22845","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nachrichten"],"_links":{"self":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts\/22845","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/comments?post=22845"}],"version-history":[{"count":0,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/posts\/22845\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/media\/22846"}],"wp:attachment":[{"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/media?parent=22845"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/categories?post=22845"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/onlinetranslators.de\/news\/wp-json\/wp\/v2\/tags?post=22845"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}