Staatliche Hacker, die es auf die kritische Infrastruktur anderer Staaten abgesehen haben: Das ist kein ganz neues Phänomen, so betreibt etwa Russland seit Jahren massiv solche Attacken gegen die Ukraine. Freilich befinden sich diese beiden Staaten derzeit auch im Krieg, in Friedenszeiten sorgt so etwas schon für wesentlich mehr Aufsehen – vor allem wenn es um die zwei mächtigsten Cybermächte des Planeten geht.

Die dem chinesischen Staat zugerechneten Hacker der Gruppe Volt Typhoon sollen kritische Infrastrukturen der USA infiltriert haben. Das vermeldet Microsoft in einem aktuellen Blogeintrag, in dem die Hintergründe der Attacke erläutert werden.

Geht es um Taiwan?

Durchaus brisant ist aber auch, wo sich dieser Vorfall abgespielt hat: Im Zentrum der Aktivitäten sollen nämlich US-Militärbasen auf der Pazifikinsel Guam gestanden haben. Das lässt manche Experten vermuten, dass das wahre Interesse Chinas die Unterstützung der USA für Taiwan sein könnte. Immerhin ist Guam der wichtigste US-Stützpunkt für den Fall, dass China einmal Taiwan angreifen sollte.

Eine Sicherheitskamera vor einem Microsoft-Büro in Peking
Microsoft deckt neue chinesische Spionageaktivitäten auf.
AP

Den Hackern scheint es laut Microsoft ausschließlich um die Informationsbeschaffung gegangen zu sein, Versuche, Schaden anzurichten, habe es hingegen nicht gegeben. Das könnte aber natürlich auch taktische Gründe haben, immerhin ist es für Angreifer durchaus sinnvoll, sich in einem unterwanderten Netz zunächst einmal ruhig zu verhalten, um dann im Fall des Falles die Kommunikation stören zu können. Auf diese Weise könnte man etwa bei einem spekulativen Einmarsch Chinas in Taiwan für Verwirrung sorgen und die Reaktion der USA verzögern.

So sieht das auch John Hultquist von der mittlerweile im Besitz von Google stehenden Analysefirma Mandiant. Die chinesischen Hacker würden sich mit ihren Attacken auf den Ernstfall vorbereiten. Hultquist bezeichnet die Aktivitäten jedenfalls wörtlich als "beunruhigend" und "einzigartig".

Eine noch relativ neue Gruppe

Volt Typhoon ist unter den staatlichen Hackern eine noch relativ neue Gruppierung, laut Microsoft ist sie erst seit Mitte 2021 aktiv. Die Gruppe bedient sich dabei vor allem "Living off the Land" genannter Techniken. Dabei werden an sich legitime Funktionen von Geräten und der darauf installierten Software genutzt, um sich im Netzwerk eines Opfers auszubreiten. Eine wichtige Eigenschaft solcher Angriffe ist, dass sie üblicherweise keine Spuren hinterlassen und somit auch schwer zu entdecken sind.

Wo viele Attacken auf Computersysteme sonst automatisiert erfolgen, wurden die aktuellen Angriffe wirklich Schritt für Schritt von einer Person gesteuert, um einen optimalen und möglichst unauffälligen Weg zu finden. Als Zwischenstufen für den Datentransfer verwendet Volt Typhoon oftmals Router von Privatpersonen oder kleinen Unternehmen, die man zuvor unter die eigene Kontrolle gebracht hat.

Details und ein "Dementi"

Microsoft hat nach eigenen Angaben bereits sämtliche von diesen Attacken betroffene Personen und Organisationen gewarnt. Weitere technische Details zum Ablauf der Attacken finden sich in dem Blogeintrag des Unternehmens.

Auch wenn die Aktivitäten und der Hintergrund von Volt Typhoon bekannt sind – bekennen will sich die chinesische Regierung dazu nicht. So dementierte ein Sprecher des chinesischen Außenministeriums mittlerweile den Bericht von Microsoft. Es handle sich dabei um eine Desinformationskampagne des Westens, für die es keinerlei Belege gebe, heißt es in einer Stellungnahme. (apo, 25.5.2023)