Eines der I-Soon-Bürogebäude in der Stadt Chengdu: Laut eigenen Aussagen ermittelt auch die chinesische Polizei, was es mit dem Leak auf sich hat.
AP/Dake Kang

Die Überwachung von ethnischen Minderheiten in China, Korrespondenz zwischen Mitarbeitern ausländischer Regierungen und asiatischen Telekommunikationsunternehmen oder auch eine Karte von Zielen, die Opfer großflächiger Cyberangriffe sein sollen: Es sind aufwühlende Informationen, die kürzlich auf einer Website aufgetaucht sind und Daten einer chinesischen Sicherheitsfirma zeigen, die im Auftrag der chinesischen Regierung arbeitet.

Der Leak – mit mehr als 570 Dateien, Bildern und dokumentierten Chats – zeigt auch, wie staatlich gestützte Auftragshacker arbeiten und von der chinesischen Regierung aggressiv angeworben werden. Wie die "New York Times" und die "Washington Post" berichten, scheinen die Dokumente laut Cybersecurity-Experten authentisch zu sein.

E-Mail-Konten geknackt

"Wir haben allen Grund zu der Annahme, dass dies die authentischen Daten eines Auftragnehmers sind, der globale und inländische Cyberspionageoperationen von China aus unterstützt", wird John Hultquist, Chefanalyst bei Googles Mandiant Intelligence, in der "New York Times" zitiert. Im Mittelpunkt steht die Firma I-Soon aus Schanghai, die auch Büros im chinesischen Chengdu betreibt. Diese scheint mit und für mehrere staatliche Stellen gearbeitet zu haben, die Hackingaktivitäten von Hacker-Söldnern finanziell unterstützen. Unter den Geldgebern sind etwa das Verteidigungsministerium und die staatliche Polizei.

Derzeit stehen die Büros von I-Soon leer. Die Vorwürfe wiegen schwer auf dem privaten Unternehmen.
AP/Dake Kang

"I-Soon ist Teil eines Ökosystems von Auftragnehmern, das Verbindungen zur patriotischen chinesischen Hackerszene hat, die sich vor zwei Jahrzehnten entwickelt hat und inzwischen legal geworden ist", sagt Hultquist. Er bezieht sich dabei auf das Aufkommen nationalistischer Hacker, die zu einer Industrie angewachsen sind. Dabei standen und stehen zumeist moderne Hacking-Technologien zur Verfügung, um je nach Fokus ausländische Ziele anzugreifen oder Chinesen im In- und Ausland verstärkt zu überwachen.

Ein Weg, über den die Hacker an Daten gekommen sind, soll das Microsoft-Produkt Outlook sein. Die Angreifer verschafften sich demnach über die Software Zugriff auf E-Mail-Konten und waren sogar in der Lage, die Kontrolle von Windows-Rechnern zu übernehmen, unentdeckt von Antivirensoftware.

Auf Twitter finden sich ebenfalls erste Bedrohungsforscher, die sich zu den Leaks äußern und aufgrund der veröffentlichten Daten erklären, wie die Hacker gearbeitet haben. So wurde Hardware beispielsweise als externes Ladegerät getarnt, um sie unter die Leute zu bringen. "Zu den Funktionen gehören das Abrufen von Systeminformationen, GPS, Kontakten, SMS, Anrufprotokollen, Browserverlauf, App-Liste, Echtzeit-Audioaufzeichnung, Prozessliste, Kamera, WiFi-Liste, Screenshots, Keylogging und Systeminformationen", erklärt einer davon ausführlich und zeigt dazu die passenden Dokumente.

In dem Leak finden sich außerdem Aussagen von I-Soon, in denen sie stolz davon berichten, Daten zahlreicher Regierungen zu besitzen, etwa aus Taiwan, Indien, Nepal, Vietnam und Myanmar. In einer Liste waren Flugdaten, Berufe, Ziele und Identifikationsnummern von Passagieren einer vietnamesischen Fluglinie feinsäuberlich verzeichnet.

Zum Schweigen gebracht

Die Möglichkeiten der Überwachung scheinen kaum Grenzen zu kennen. Laut I-Soon verfügt die Firma über Technologien, um beispielsweise die öffentliche Meinung in sozialen Medien zu überwachen und aufzuzeichnen. Ein anderes Tool, das speziell für Konten auf X, ehemals Twitter, entwickelt wurde, kann E-Mail-Adressen, Telefonnummern und andere Informationen von Nutzerkonten auslesen. So sollen in den vergangenen Jahren immer wieder chinesische Aktivisten im In- und Ausland von Behörden ausgeforscht und zum Schweigen gebracht worden sein, sagen die Leaks.

Laut dem Cybersicherheitsexperten Jonathan Condra ist dies das "bedeutendste Datenleck, das mit einem Unternehmen in Verbindung gebracht wird, das im Verdacht steht, Cyberspionage- und gezielte Eindringungsdienste für die chinesischen Sicherheitsdienste zu erbringen". Eine umfangreiche Analyse dieses Lecks würde neue Erkenntnisse darüber liefern, wie Auftragnehmer und Hackerkollektive mit der chinesischen Regierung zusammenarbeiten, um Cyberspionage zu betreiben. Parallelen zur Arbeitsweise der iranischen und der russischen Regierung werden gezogen, die ebenfalls mit privaten Partnern großflächige und regelmäßige Hackangriffe auf andere Regierungen und "Staatsfeinde" arrangieren.

Anfragen der zwei Tageszeitungen zu den Anschuldigungen an I-Soon, X und die chinesische Regierung blieben bisher unbeantwortet. (aam, 22.2.2024)