Cyberspionage made in China Spionage im grossen Stil, eine hochkomplexe Organisation und beachtliche Ausdauer: FireEye hat eine Gruppe chinesischer Hacker analysiert. Hinter ihr steckt vermutlich ein staatlicher Akteur.

Die untersuchten chinesischen Hacker haben vor allem Ziele im Auge, die für staatliche Stellen von Interesse sind. (Bild: Jonathan Ernst / Reuters)

Der amerikanische IT-Sicherheitsdienstleister FireEye hat Cyberattacken in Südostasien untersucht. Dabei ist die Firma auf wohlorganisierte Cyberspione aus China gestossen. Organisation und Vorgehen der Gruppe deuten auf eine staatlich unterstütze Operation hin, schreibt FireEye in einem ausführlichen Bericht. Darin geben sie der Gruppe den Namen APT30 – abgeleitet vom englischen Ausdruck «advanced persistant threat», der hochspezialisierte Angriffe auf die IT-Infrastruktur von Staaten oder Privaten bezeichnet.

Seit 2004 aktiv

Die untersuchte Gruppe ist im Vergleich zu anderen Hackergruppen schon sehr lange aktiv, wie aus dem Bericht hervorgeht. Die ersten Spuren der Operation reichen zurück bis in das Jahr 2004. Ihre Ziele liegen demnach vor allem in Südostasien; betroffen sind sowohl Regierungen als auch private Unternehmen. Im Interesse der Hacker liegen laut FireEye Informationen aus den politischen, wirtschaftlichen und militärischen Bereichen.

Die Analyse förderte eine stark ausdifferenzierte Arbeitsweise zu Tage: Die Angreifer priorisieren ihre Ziele, arbeiten vermutlich im Schichtbetrieb und stimmen sich untereinander ab. Im Gegensatz zu anderen Gruppen, die Cyberspionage betreiben, wechseln sie die verwendete Malware nach einer bestimmten Dauer nicht aus, sondern entwickeln die Tools kontinuierlich und zielgerichtet weiter. Die ersten Spuren des verwendeten Codes reichen bis ins Jahr 2005 zurück.

Auch physische Lücken sind keine Grenze

Die Hauptziele bilden laut dem Bericht Informationen, die vor allem für staatliche Spionage von Interesse sind. Dabei gelingt es der Gruppe seit geraumer Zeit sogar, in Netzwerke einzudringen, die aus Sicherheitsgründen physisch vom Internet abgetrennt sind. Aufgrund ihrer Analyse folgert FireEye, dass hinter APT30 vermutlich der chinesische Staat steckt, da eine Operation dieser Grössenordnung ohne entsprechende Unterstützung kaum realisierbar wäre.