USA klagen sieben Chinesen wegen Cyberspionage an
Am Montag hat das US-Justizministerium Anklagen gegen sieben chinesische Staatsangehörige erhoben. Sie werden beschuldigt, Teil einer Hackergruppe zu sein, die 14 Jahre lang Kritiker, Journalisten, Unternehmen und Beamte in den USA und anderen Ländern angegriffen hat.
Die verdächtigen Cyberspione wurden beschuldigt, Teil einer staatlich unterstützten Hackergruppe namens APT31 zu sein, die auch unter verschiedenen Namen wie Altaire, Bronze Vinewood, Judgement Panda und Violet Typhoon bekannt ist. Diese Gruppe ist seit mindestens 2010 aktiv.
Ihre Aufgaben umfassen das Testen und Ausnutzen von schädlicher Software für Angriffe, die Verwaltung der Infrastruktur für Angriffe und die Überwachung bestimmter US-Einrichtungen, so die Bundesstaatsanwaltschaft.
Zwei der Angeklagten sollen mit der Wuhan Xiaoruizhi Science and Technology Company, Limited (Wuhan XRZ) verbunden sein, einer Scheinfirma, die angeblich für das Ministerium für Staatssicherheit (MSS) bösartige Cyberoperationen durchgeführt hat.
Ein im Mai 2023 veröffentlichter Bericht von Intrusion Truth bezeichnete Wuhan XRZ als eine verdächtige Firma in Wuhan, die nach Schwachstellenforschern und Fremdsprachenexperten sucht.
Zusätzlich zur Ankündigung einer Belohnung von bis zu 10 Millionen Dollar für Informationen über Personen, die mit APT31 verbunden sind, haben Großbritannien und die USA auch Sanktionen gegen diese beiden Angeklagten und Wuhan XRZ verhängt. Dies geschah aufgrund ihrer Gefährdung der nationalen Sicherheit und ihrer Ausrichtung auf Parlamentarier weltweit.
„Diese Vorwürfe decken Chinas umfangreiche illegale Hacking-Aktivitäten auf, die auf sensible Daten von US-Regierungsvertretern, Journalisten, Akademikern, amerikanischen Unternehmen und politischen Dissidenten abzielten, sowohl in Amerika als auch im Ausland“, so US-Staatsanwalt Breon Peace. „Ihr finsterer Plan hat Tausenden von Menschen und Einrichtungen weltweit geschadet und lief über mehr als ein Jahrzehnt.“
Während der ausgedehnten Hacking-Operation, die mindestens von 2010 bis November 2023 dauerte, verschickten die Angeklagten und andere Mitglieder von APT31 über 10.000 E-Mails an ihre Ziele. Diese E-Mails gaben vor, von bekannten Journalisten zu stammen und enthielten Links zu scheinbar legitimen Nachrichtenartikeln.
In Wirklichkeit enthielten diese Links jedoch versteckte Tracker, die es den Angreifern ermöglichten, Informationen wie den Standort der Opfer, ihre IP-Adressen, Netzwerkpläne und die Geräte, die für den Zugriff auf ihre E-Mail-Konten verwendet wurden, abzufangen, indem sie einfach die E-Mails öffneten.
Diese Informationen halfen den Angreifern, gezieltere Angriffe durchzuführen, darunter die Kompromittierung der Heimrouter und anderer elektronischer Geräte der Empfänger.
Es wird auch vermutet, dass die Angreifer Zero-Day-Exploits einsetzten, um dauerhaften Zugang zu den Computernetzwerken ihrer Opfer zu erhalten. Dies führte zum Diebstahl von Telefongesprächsdaten, Cloud-Speicherkonten, persönlichen E-Mails, Wirtschaftsplänen, geistigem Eigentum und Geschäftsgeheimnissen von US-Unternehmen.
Andere Spearphishing-Angriffe, die von APT31 durchgeführt wurden, richteten sich auf US-Regierungsbeamte im Weißen Haus sowie in Ministerien wie Justiz, Handel, Finanzen und Außenministerium. Auch US-Senatoren, Abgeordnete und Wahlkampfmitarbeiter beider politischer Parteien waren betroffen.
Diese Angriffe wurden durch speziell angefertigte Malware wie RAWDOOR, Trochilus RAT, EvilOSX, DropDoor/DropCat und andere erleichtert. Diese Malware stellte sichere Verbindungen mit Servern her, die vom Gegner kontrolliert wurden, um Befehle auf den Computern der Opfer zu empfangen und auszuführen. Außerdem wurde eine geknackte Version von Cobalt Strike Beacon verwendet, um Aktivitäten nach der Ausbeutung durchzuführen.
Zu den Hauptzielen von APT31 gehören Branchen wie Verteidigung, Informationstechnologie, Telekommunikation, Produktion und Handel, Finanzen, Beratung sowie Rechts- und Forschungswesen. Die Gruppe hat auch Dissidenten weltweit ins Visier genommen sowie Personen und Organisationen, von denen angenommen wird, dass sie sie unterstützen.
„APT31 ist eine Gruppe von chinesischen Geheimdienstmitarbeitern, Auftrags-Hackern und Hilfskräften, die von der Hubei State Security Department (HSSD) finanziert werden, um böswillige Cyberoperationen durchzuführen“, erklärte das Finanzministerium.
„Im Jahr 2010 gründete das HSSD Wuhan XRZ als Scheinfirma für Cyberoperationen. Diese böswilligen Cyberaktivitäten umfassten die Überwachung von US-amerikanischen und ausländischen Politikern, außenpolitischen Experten, Akademikern, Journalisten und pro-demokratischen Aktivisten sowie von Personen und Unternehmen, die in Bereichen von nationaler Bedeutung tätig sind.“
„Chinesische, staatlich unterstützte Cyberspionage ist nicht neu, und die Anklageschrift, die das Justizministerium veröffentlicht hat, zeigt, wie weitreichend ihre Cyberoperationen sind, um die Ziele der Volksrepublik China voranzutreiben“, so Alex Rose, Director of Government Partnerships bei Secureworks Counter Threat Unit.
„Obwohl diese Bedrohung nicht neu ist, ist das Ausmaß der Spionage und die verwendeten Taktiken besorgniserregend. Die Chinesen haben ihre typischen Vorgehensweisen in den letzten Jahren weiterentwickelt, um Entdeckungen zu vermeiden und es schwieriger zu machen, ihnen bestimmte Cyberangriffe zuzuordnen. Dies ist Teil einer größeren strategischen Anstrengung, die China unternimmt. Die Fähigkeiten, Ressourcen und Taktiken, die der Volksrepublik China zur Verfügung stehen, machen sie zu einer fortwährenden und ernsthaften Bedrohung für Regierungen, Unternehmen und Organisationen weltweit.“
Die Anklagen werden erhoben, nachdem die britische Regierung APT31 beschuldigt hat, im Jahr 2021 die E-Mails von Parlamentariern angegriffen zu haben. Außerdem macht sie einen nicht genannten Bedrohungsakteur, der mit dem chinesischen Staat verbunden ist, für „bösartige Cyberkampagnen“ gegen die Wahlkommission verantwortlich. Dadurch wurden die Wählerdaten von 40 Millionen Menschen unbefugt zugänglich.
Obwohl die Verletzung der Wahlkommission erst im August 2023 bekannt gegeben wurde, gibt es Hinweise darauf, dass die Angreifer bereits zwei Jahre zuvor auf die Systeme zugegriffen haben.
Gleichzeitig mit den Enthüllungen aus Großbritannien und den USA berichtete Neuseeland von Verbindungen zwischen dem chinesischen staatlich finanzierten Apparat und Cyberangriffen auf parlamentarische Einrichtungen des Landes im Jahr 2021. Die Aktivitäten wurden einer anderen Gruppe zugeschrieben, die vom MSS unterstützt wird und als APT40 bekannt ist.
Australien äußerte sich „ernsthaft besorgt“ über die bösartigen Cyberaktivitäten staatlich unterstützter chinesischer Akteure, die auf Großbritannien abzielen, und forderte „alle Staaten auf, im Cyberspace verantwortungsvoll zu handeln“. Dabei wurde jedoch betont, dass die eigenen Wahlsysteme „nicht durch die auf Großbritannien gerichteten Cyber-Kampagnen kompromittiert wurden“.
China hat die Anschuldigungen zurückgewiesen und sie als „völlig erfunden“ und „böswillige Verleumdungen“ bezeichnet. Ein Sprecher der chinesischen Botschaft in Washington D.C. sagte der BBC News, dass die Länder „unbegründete Anschuldigungen“ erhoben hätten.
„Die Rückverfolgung von Cyberangriffen ist äußerst komplex und sensibel. Bei der Untersuchung und Bewertung solcher Fälle ist es wichtig, über angemessene und objektive Beweise zu verfügen, anstatt andere Länder zu verunglimpfen, wenn keine klaren Fakten vorliegen. Es ist auch nicht hilfreich, Cybersicherheitsfragen zu politisieren“, so der Sprecher des Außenministeriums Lin Jian.
„Wir hoffen, dass alle beteiligten Parteien aufhören, Falschinformationen zu verbreiten, eine verantwortungsvolle Haltung einnehmen und gemeinsam den Frieden und die Sicherheit im Cyberspace gewährleisten. China lehnt illegale und einseitige Sanktionen ab und wird entschlossen seine legitimen Rechte und Interessen verteidigen.“