Einige Wochen nachdem die US-Regierung eine Reihe von chinesischen Militärs wegen Cyberspionage angeklagt hat, soll ein neuer Bericht nun Beweise liefern und Einsicht in den Umfang der Militäroperationen bieten. Erstellt wurde er von Crowdstrike, einer von ehemaligen McAfee-Angestellten gegründeten Sicherheitsfirma.

"Putter Panda"

"Putter Panda" nennt Crowdstrike jene Gruppe von Hackern, die von Shanghai aus operieren und Angriffe gegen dutzende Organisationen und Unternehmen aus dem öffentlichen und privaten Bereich durchgeführt haben soll. Ihre Bezeichnung leiten die Forscher daraus ab, dass die Hacker es besonders gerne auf golfspielende Konferenzteilnehmer abgesehen hatten.

Die NSA identifizierte sie als "Einheit 61486", wie die New York Times unter Berufung auf Interviews mit aktuellen und ehemaligen Offiziellen schreibt.

Einheit 61398

Über 20 chinesische Hackergruppen werden aktuell von der NSA und ihren Partnern beobachtet, mehr als die Hälfte soll direkt dem chinesischen Militär angehören. So auch "Einheit 61398", der auch die angeklagten Militärs angehören sollen. Einheit 6148 soll sich zwischendurch Hardware-Ressourcen mit ihr geteilt und auch mit ihr kommuniziert haben. Bei Crowdstrike spricht man davon, dass es sich nur um die "Spitze des Eisbergs" handle.

Schon vergangenes Jahr identifizierte ein anderer Bericht, erstellt von der Cybersecurity-Firma Mandiant, die Einheit 61398 als Quelle tausender Attacken. Im Rahmen der Anklage wurden auch erstmals die Namen von angeblich betroffenen Unternehmen öffentlich, darunter Westinghouse Electric und die United Steel Corporation. China wies die Anschuldigungen scharf zurück und brachte seinerseits Spionagevorwürfe gegen die USA auf.

Zielgerichtete Malware-Auslieferung

Laut dem Crowdstrike-Bericht hat Einheit 61486 selbst entwickelte Tools eingesetzt, um die Angriffe durchzuführen. Als Vehikel dienten infizierte ausländische Webseiten, trotz aller Vorsicht gelang es den Angreifern aber nicht, ihre Herkunft vollständig zu verbergen.

Die Hacker visierten dabei einzelne Ziele an, die sie mit angepasster Malware in Form von an E-Mails angehängten PDF-Dateien beschickten. Die Dokumente enthielten etwa Einladungen zu Konferenzen im Bereich der Luftfahrt oder Satellitentechnik, Stellenausschreibungen oder, wie in einem Fall, eine Broschüre für ein Yoga-Studio in Toulouse.

Durch das Öffnen der Anhänge infizierten die Opfer ihre PCs und ermöglichten es den Angreifern, weitere Informationen zu sammeln und dabei wohl auch Handelsgeheimnisse und Bauvorlagen für Geräte zu stehlen.

Nachverfolgung

Beim Aufsetzen der Fake-Websites sollen mitunter aber Fehler passiert sein. Dies ermöglichte Crowdstrike, einen der Angreifer mit der Shanghai Jiao Tong-Universität in Verbindung zu bringen, die schon länger als eine Art staatliche Nachwuchsakademie für Hacker in Verdacht steht. In einem anderen Fall ließ sich eine E-Mail-Adresse zu einem 35-jährigen mutmaßlichen Militärangehörigen nachverfolgen, der in einem Sicherheitsforum in Kontakt mit zwei Hackern unter den Pseudonymen "ClassicWind" und "Linxder" gestanden haben soll.

Von ihm auf Picasa hochgeladene Bilder zeigen ihn bei seiner Geburtstagsfeier in Militärgewand, im Hintergrund sind Kopfbedeckungen des chinesischen Militärs zu erkennen. In einem weiteren Album namens "Büro" sieht man ein Gebäude in Shanghai, dass sich bei einem Besuch der New York Times als Militäranlage entpuppte. Hier soll auch die Einheit 61486 ihre Operationsbasis haben.

Kein Ende in Sicht

Bei Crowdstrike ist man der Meinung, die Spionagetätigkeiten gegen verschiedene Un ternehmen aus der Satelliten und Weltraumtechnik durch den eigenen Report erwiesen zu haben. "Wir haben die Waffe, die Kugel und die Leiche", heißt es. Man rechnet allerdings nicht damit, dass China seine Spionagetätigkeiten infolgedessen verringern werde, sondern diese unbeirrt fortsetzt. (red, derStandard.at, 10.06.2014)