China hat den amerikanischen Auslandsgeheimdienst NSA beschuldigt, im Juni 2022 eine Reihe von Cyberangriffen auf die Northwestern Polytechnical University in der Stadt Xi’an durchgeführt zu haben. Diese Universität ist auf Luftfahrt- und Militärforschung ausgerichtet. Bereits Anfang September teilte das chinesische National Computer Virus Emergency Response Centre (NCVERC) mit, dass das Office of Tailored Access Operations (TAO) – eine Abteilung der NSA für Cyber-Kriegsführung – Tausende von Angriffen auf chinesische Einrichtungen orchestriert habe. Das NCVERC ist ein nicht staatliches technisches Zentrum für Cybersicherheit und das wichtigste Koordinationsgremium für Chinas Gefahrenabwehr im Bereich der Cybersicherheit.
“Das TAO der NSA hat Zehntausende von böswilligen Cyberangriffen auf Chinas inländische Netzwerkziele durchgeführt, Zehntausende von Netzwerkgeräten (Netzwerkserver, Internet-Terminals, Netzwerk-Switches, Telefonzentralen, Router, Firewalls usw.) kontrolliert und mehr als 140 GB an hochwertigen Daten gestohlen”, heißt es in der Erklärung des NCVERC. Bei dem Angriff auf die Northwestern Polytechnical University sollen den Angaben zufolge etwa 40 verschiedene Cyberwaffen eingesetzt worden sein, um Passwörter, die Konfiguration von Netzwerkgeräten, Netzwerkmanagementdaten sowie Betriebs- und Wartungsdaten abzuschöpfen.
Um Zugang zu den Servern der militärischen Bildungseinrichtung und etwaigen Unternehmen zu erhalten und zugleich einen sogenannten OPEN-Trojaner installieren zu können, habe die TAO zwei sogenannte Day-Exploits, neu entdeckte Sicherheitslücken im Unix-basierten Betriebssystem SunOS, ausgenutzt. In dem Bericht wird zudem die Verwendung von Bvp47 erwähnt, einer Hintertür bei Linux. Diese war bereits in früheren Hacking-Missionen der sogenannten Equation Group, einer Hacking-Gruppe, die der NSA nahe stehen soll, verwendet worden.
Bei dem implementierten OPEN-Trojaner handelte es sich nach Angaben des NCVERC um SuctionChar – eine Malware, die Konten und Passwörter stehlen kann, indem sie die Fernverwaltung nutzt, um Dateiübertragungen auf Zielserver vorzunehmen. Sie dient als wichtiges Backdoor-Tool, das ebenfalls von der Equation Group entwickelt wurde. “SuctionChar kann heimlich auf Zielservern ausgeführt werden, die Benutzereingaben im Terminalprogramm der Betriebssystemkonsole in Echtzeit überwachen und alle Arten von Benutzernamen und Passwörtern abfangen”, heißt es in dem chinesischen Bericht. Das NCVERC schreibt zudem, dass die gestohlenen Anmeldedaten verwendet worden seien, um in andere Server und Netzwerkgeräte einzudringen.
Neben dem OPEN-Trojaner wurden bei den Angriffen die Schadprogramme “Fury Spray”, “Cunning Heretics”, “Stoic Surgeon” und “Acid Fox” eingesetzt. Diese sind in der Lage, “verdeckte und dauerhafte Kontrolle” auszuüben und sensible Informationen herauszufiltern. Über ein Netzwerk von Proxyservern in Japan, Südkorea, Schweden, Polen und der Ukraine sollen die Rechenbefehle der Hacker dann an die kompromittierten Rechner in China weitergeleitet worden sein. Dabei sei der amerikanische Auslandsgeheimdienst sehr vorsichtig vorgegangen: Um rückverfolgbare Informationen wie relevante Domänennamen, Zertifikate und Registranten zu anonymisieren, habe die NSA ein nicht genanntes Registrierunternehmen genutzt, heißt es in dem Bericht weiter.
Doch weshalb betrieb die NSA solch einen Aufwand, um an die Daten einer Universität heranzukommen? Laut dem US-Justizministerium ist die Northwestern Polytechnical University eine “chinesische Militäruniversität, die stark in der militärischen Forschung engagiert ist und eng mit der Volksbefreiungsarmee bei der Weiterentwicklung ihrer militärischen Fähigkeiten zusammenarbeitet.” Aus US-amerikanischer Sicht wäre sie folglich ein sinnvolles Ziel für digitale Infiltration.
Dass Washington das TAO – ein Eliteteam von NSA-Hackern, das sich auf heimliches Eindringen spezialisiert hat – mit dem Auftrag betraute, spricht dafür, dass die USA es bei ihrem Cyberangriff weniger auf Forschungsergebnisse abgesehen hatten. Früheren Berichten zufolge hat TAO die US-Regierung schon häufig dabei unterstützt, in Netzwerke auf der ganzen Welt einzubrechen, um Informationen und Daten zu sammeln.
Der aktuelle Vorfall ereignete nach chinesischen Angaben bereits im Juli. Er erlangte öffentliche Aufmerksamkeit, nachdem die Northwestern Polytechnical University selbst bekannt gegeben hatte, sie habe Hacker aus dem Ausland dabei erwischt, wie sie Phishing-E-Mails mit Trojaner-Programmen an Lehrkräfte und Studenten der Universität schickten, um deren Daten und persönliche Informationen zu stehlen.
Eine Erklärung der Polizei, die am nächsten Tag vom Beilin Public Security Bureau in Xi’an veröffentlicht wurde, besagt, mit dem Angriff sei versucht worden, Lehrkräfte und Studenten dazu zu verleiten, auf Links in Phishing-E-Mails mit Trojaner-Programmen zu klicken. In diesen E-Mails ging es demnach es “um wissenschaftliche Auswertungen, die Verteidigung von Abschlussarbeiten und Informationen über Auslandsreisen, um so an ihre E-Mail-Anmeldedaten zu gelangen.” Später stellten die zu den Ermittlungen hinzugezogenen Experten des NCVERC fest, dass die NSA während ihres Angriffs auf das E-Mail-System der Universität heimlich einen Fernzugriff auf das Kerndatennetz einiger chinesischer Infrastrukturbetreiber eingerichtet hatte. Auf diese Weise erlangte der US-Geheimdienst zeitweise sogar die Kontrolle über die Infrastruktur des Landes, wie die staatliche chinesische Zeitung Global Times am Donnerstag von einer namentlich nicht genannten Quelle erfuhr.
“Das Verhalten der USA stellt eine ernste Gefahr für die nationale Sicherheit Chinas und die Sicherheit der persönlichen Daten seiner Bürger dar”, sagte Mao Ning, die Sprecherin des chinesischen Außenministeriums, vergangene Woche auf einer Pressekonferenz.
“Als das Land, das über die mächtigsten Cybertechnologien und -fähigkeiten verfügt, sollten die USA sofort damit aufhören, ihre Stärke als Vorteil zu nutzen, um Diebstähle und Angriffe gegen andere Länder durchzuführen. Sie sollten sich verantwortungsvoll an der globalen Cyberspace-Governance beteiligen und eine konstruktive Rolle bei der Verteidigung der Cybersicherheit spielen.”
Die von der NSA geführten Cyberangriffe scheinen seit mehr als 10 Jahren zu laufen, wobei inzwischen 45 Nationen und Regionen auf der ganzen Welt Ziel dieser Cyberspionage- und Überwachungskampagnen geworden sind. Unter den Angriffszielen sollen auch Computersysteme von mit den USA befreundeten Ländern gewesen sein. Laut Berichten der chinesischen Nachrichtenagentur Xinhua hatte die Hacker-Einheit TAO zuvor bereits 32 Systeme in Japan, 30 in Südkorea und 16 in Deutschland ins Visier genommen. Schweden, Polen und die Ukraine seien ebenfalls schwer getroffen worden.
Seit mehreren Jahren wirft China den USA Cyberangriffe vor, ohne dabei konkret zu werden. In den letzten Wochen hat Peking jedoch immer häufiger bestimmte Angriffe den USA zugeschrieben, wodurch sich die Spannungen zwischen den beiden Ländern im Cyberbereich verschärft haben. Am 18. September wurden die Vorwürfe gegen die NSA zu einer diplomatischen Beschwerde ausgeweitet. Yang Tao, der Generaldirektor für amerikanische Angelegenheiten im chinesischen Außenministerium, veröffentlichte eine Erklärung. Darin bestätigte er den NCVERC-Bericht und behauptete, die NSA habe “die technischen Geheimnisse einschlägiger chinesischer Institutionen ernsthaft verletzt und die Sicherheit der kritischen Infrastruktur, der Institutionen und der persönlichen Daten Chinas ernsthaft gefährdet. Sie muss sofort gestoppt werden.”
Allerdings hat auch China in Sachen Cyberspionage keine weiße Weste vorzuweisen. Seit 2020 beschuldigen die USA Peking der digitalen Infiltration amerikanischer Telefonnetzwerke, staatlicher Regierungseinrichtungen, privater Konten amerikanischer Journalisten und zahlreicher anderer Ziele. Eine öffentliche Erklärung der Vereinigten Staaten zu den aktuellen Vorwürfen liegt bislang nicht vor.
Mehr zum Thema – “Informationen müssen nicht solide sein” – Die neue Strategie der US-Geheimdienste
