Chinesisches Phishing zielte auf NASA-Verteidigungssoftware : Wie gefälschte Forscheridentitäten sensible Raumfahrttechnik abgriffen
Ein chinesischer Staatsbürger soll sich jahrelang als amerikanischer Forscher ausgegeben haben, um sensible Software für Luft- und Raumfahrt, Waffendesign und Militärtechnik zu erlangen. Der Fall zeigt, wie gefährlich Spear-Phishing wird, wenn Vertrauen in Forschungskontakte ausgenutzt wird.
Mitarbeiter der National Aeronautics and Space Administration (NASA) und Forschungspartner glaubten offenbar, Software mit Kollegen zu teilen. Tatsächlich landeten sensible Programme und Quellcodes bei einem mutmaßlichen Angreifer, der sich mit gefälschten Identitäten als amerikanischer Ingenieur ausgab. Das Office of Inspector General (OIG) der NASA beschreibt damit einen Fall, der weit über klassische Phishing-Mails hinausgeht: Es ging nicht um Zugangsdaten allein, sondern um exportkontrollierte Technologie mit möglichem militärischem Nutzen.
Im Zentrum steht der chinesische Staatsbürger Song Wu. Nach Angaben des United States Department of Justice (DoJ) soll er zwischen Januar 2017 und Dezember 2021 eine mehrjährige Spear-Phishing-Kampagne orchestriert haben. Ziel waren Professoren, Forscher und Ingenieure in den Vereinigten Staaten. Betroffen waren Beschäftigte der NASA, der Luftwaffe, Marine, Armee und der Federal Aviation Administration (FAA). Hinzu kamen große Universitäten und private Unternehmen.
Vertrauen als Angriffsfläche
Die Kampagne war technisch nicht deshalb gefährlich, weil sie besonders laut oder zerstörerisch war. Ihre Wirkung lag in der sozialen Präzision. Song und mutmaßliche Mitstreiter recherchierten ihre Ziele umfassend, gaben sich als Freunde, Kollegen oder vertraute Fachkontakte aus und baten anschließend um Zugang zu spezieller Modellierungssoftware.
Das OIG bringt den Kern des Falls drastisch auf den Punkt: „Jahrelang dachten Mitarbeiter der NASA und Forschungspartner, sie würden Software einfach mit Kollegen teilen. Stattdessen schickten sie sensible Verteidigungstechnologie per E-Mail an einen chinesischen Staatsbürger, der sich als amerikanischer Ingenieur ausgab.“
Der Vorfall zeigt eine zentrale Schwäche in offenen Forschungs- und Entwicklungsumgebungen. Wissenschaft lebt vom Austausch. Genau dieses Prinzip können Angreifer ausnutzen, wenn technische Kontrollmechanismen, Identitätsprüfung und Export-Compliance nicht konsequent ineinandergreifen.
Software mit militärischem Potenzial
Laut Anklage war Song Wu Ingenieur bei der Aviation Industry Corporation of China (AVIC), einem staatlichen chinesischen Luft- und Raumfahrt- sowie Verteidigungskonzern. Das Ziel der Kampagne soll Modellierungssoftware gewesen sein, die im Luft- und Raumfahrtdesign sowie in der Waffenentwicklung eingesetzt werden kann.
Das Federal Bureau of Investigation (FBI) stuft die Software als besonders sensibel ein. Sie könne für industrielle und militärische Anwendungen genutzt werden, unter anderem für die Entwicklung fortgeschrittener taktischer Raketen sowie für aerodynamische Konstruktion und Bewertung von Waffensystemen. Damit wird deutlich: Der Schaden einer solchen Kampagne bemisst sich nicht nur am Abfluss einzelner Dateien. Entscheidend ist, dass spezialisierte Entwicklungswerkzeuge strategische Fähigkeiten beschleunigen können.
In einigen Fällen war die Kampagne erfolgreich. Opfer teilten sensible Informationen mit den von Song kontrollierten Scheinkonten, ohne zu erkennen, dass sie damit möglicherweise gegen amerikanische Exportkontrollgesetze verstießen. Genau darin liegt die besondere Brisanz: Nicht nur der Angreifer handelte mutmaßlich illegal. Auch gutgläubige Mitarbeiter konnten unbeabsichtigt Teil eines Exportverstoßes werden.
Spear-Phishing trifft Exportkontrolle
Der Fall macht deutlich, dass Schutz vor Spionage nicht allein Aufgabe der IT-Sicherheit ist. Organisationen müssen technische Sicherheitskontrollen, Rechtsvorgaben und operative Prozesse zusammenführen. Bei exportkontrollierter Software reicht es nicht, nur den Versand großer Datenmengen zu überwachen. Schon einzelne Quellcode-Auszüge, Lizenzdateien, Simulationsmodelle oder technische Dokumentationen können schutzwürdig sein.
Besonders kritisch sind Umgebungen, in denen externe Kooperationen alltäglich sind. Forschungseinrichtungen, Behörden, Rüstungszulieferer und Technologieunternehmen arbeiten häufig in Netzwerken aus Projektpartnern, Gastwissenschaftlern und Auftragnehmern. Wenn Identitäten dort nicht belastbar geprüft werden, können gefälschte Kommunikationsbeziehungen lange unentdeckt bleiben.
Das OIG weist darauf hin, dass auch ausgefeilte Phishing-Kampagnen erkennbare Muster hinterlassen. Im Fall Song seien wiederholte Anfragen nach derselben Software aufgefallen, ohne dass nachvollziehbar begründet worden sei, warum diese benötigt werde. Genau solche Inkonsistenzen sollten Sicherheits- und Compliance-Teams systematisch auswerten.
Warnsignale in der Kommunikation
Die Ermittler nennen mehrere typische Hinweise auf Exportbetrug, die Unternehmen und Behörden ernst nehmen sollten:
- Mehrfache Anfragen nach derselben Software, insbesondere wenn der fachliche Bedarf nicht plausibel erklärt wird.
- Ungewöhnliche Zahlungswege, etwa verdächtige Überweisungen oder schwer nachvollziehbare Zahlungsquellen.
- Plötzliche Änderungen von Bedingungen oder Zahlungsherkunft, die auf Verschleierung oder Umgehung interner Prüfungen hindeuten.
- Unkonventionelle Transfermethoden, mit denen Angreifer ihre Identität verbergen oder Versand- und Exportbeschränkungen umgehen wollen.
Diese Punkte zeigen, dass Angriffe auf sensible Technologien häufig nicht mit einem einzigen auffälligen Ereignis beginnen. Vielmehr entsteht das Risiko aus einer Kette kleiner Abweichungen: eine vertraut wirkende Anfrage, eine plausible berufliche Legende, ein bekannter Projektkontext, später ein Dateiversand per E-Mail oder über einen alternativen Kanal.
Warum klassische Schutzmaßnahmen nicht genügen
Viele Organisationen trainieren Mitarbeiter darauf, verdächtige Links, manipulierte Anhänge oder gefälschte Anmeldeseiten zu erkennen. Der Fall Song zeigt jedoch eine andere Angriffsebene. Hier stand die Beziehung selbst im Mittelpunkt. Die Angreifer versuchten, glaubwürdige berufliche Nähe herzustellen und daraus legitime Datenflüsse entstehen zu lassen.
Deshalb müssen Abwehrmaßnahmen tiefer ansetzen. Dazu gehören verlässliche Identitätsprüfung bei externen Anfragen, klare Freigabeprozesse für exportkontrollierte Software, Klassifizierung sensibler Entwicklungsdaten, technische Beschränkungen für Weitergabe und Download sowie Protokollierung ungewöhnlicher Anfrage- und Versandmuster. Auch Schulungen müssen praxisnäher werden: Wer mit sensibler Forschung arbeitet, muss nicht nur Phishing erkennen, sondern auch Exportkontrollrisiken verstehen.
Für Behörden und Unternehmen bedeutet das außerdem, dass Forschungsfreiheit und Sicherheitskontrolle nicht als Gegensätze behandelt werden dürfen. Offene Zusammenarbeit bleibt möglich, braucht aber nachvollziehbare Regeln, überprüfbare Identitäten und belastbare Entscheidungswege, wenn sensible Technologie betroffen ist.
Ein Fall mit Signalwirkung
Song Wu wurde wegen Überweisungsbetrugs und 14 Fällen schwerer Identitätsdiebstahls angeklagt. Für jeden Fall von Überweisungsbetrug drohen bis zu 20 Jahre Haft. Im Fall einer Verurteilung wegen schweren Identitätsdiebstahls käme eine zweijährige Anschlussstrafe hinzu. Der 40-Jährige ist weiterhin flüchtig und steht auf der Fahndungsliste des FBI .
Der Fall ist damit mehr als eine weitere Phishing-Geschichte. Er zeigt, wie eng Cyberangriffe, Industriespionage, Exportkontrolle und nationale Sicherheit inzwischen verbunden sind. Wo sensible Software per E-Mail weitergegeben wird, entscheidet nicht nur die technische Absicherung über das Risiko, sondern auch die Frage, ob Organisationen wissen, mit wem sie wirklich kommunizieren.