In einer riesigen Cyberaktion sind chinesische Hacker an vertrauliche Gespräche gelangt. So funktioniert das Spionieren der Zukunft.
Das Ausmass der chinesischen Cyberoperation ist riesig. Seit Monaten befinden sich Pekings Spione in den Netzwerken mehrerer amerikanischer Telekomanbietern. Dort können sie die Verbindungsdaten der Nutzer ausspionieren und Gespräche mithören. Es ist auch nach Wochen noch nicht gelungen, die Angreifer aus den Netzen auszusperren.
Nun wurde bekannt, dass die Spionageaktion weit über die USA hinaus geht. Zahlreiche weitere Länder sollen ebenfalls Opfer der chinesischen Operation sein, wie die amerikanischen Behörden vergangene Woche mitteilten. Sie gehen davon aus, dass die Angreifer ihre Kampagne bereits seit ein oder zwei Jahren am Laufen haben.
Der Fall zeigt, welche entscheidende Rolle Cyberaktionen heute im Bereich der Spionage spielen. Staaten können so aus der Ferne weltweite Abhöraktionen durchführen, ohne dabei entdeckt zu werden. Und die Abwehr ist selbst für eine Cyber-Grossmacht wie die USA schwierig.
Der chinesische Cyberangriff wurde Ende September durch einen Artikel des «Wall Street Journals» bekannt, als der amerikanische Präsidentschaftswahlkampf noch in vollem Gange war. In der Folge sorgte für Schlagzeilen, dass unter anderem der republikanische Kandidat Donald Trump und sein Vize J. D. Vance sowie Mitarbeiter der demokratischen Präsidentschaftskampagne Ziel der Spionage gewesen seien.
Inzwischen ist klar, dass es sich um eine viel umfassendere Spionageaktion handelt, die nicht in direktem Zusammenhang mit der amerikanischen Präsidentschaftswahl steht. Die Behörden in den USA untersuchen den Vorfall bereits seit Frühsommer. Betroffen sind mindestens acht amerikanische Telekomanbieter, darunter laut Medienberichten Verizon, AT&T und Lumen.
Behörden empfehlen verschlüsselte Kommunikation
Das Interesse der Angreifer gilt laut Behörden Schlüsselpersonen in Verwaltung und Politik, aber auch Unternehmen, die interessante Innovationen besitzen. Offenbar haben die Spione in grossem Umfang Verbindungsdaten entwendet, also die Angaben, wer wann mit wem telefoniert hat, sagen die Behörden. Wie viele Amerikaner davon betroffen sind, können die Behörden nicht sagen. Aber es müssen Millionen sein.
Diese umfassenden Verbindungsdaten dienten China dann dazu, so vermuten die amerikanischen Behörden, jene relevanten Personen in entscheidender Funktion zu identifizieren, die für die chinesische Regierung interessant sind. Bei dieser Gruppe ausgewählter Personen, welche meist eine Verbindung zur amerikanischen Verwaltung gehabt hätten, ist es den Spionen offenbar auch gelungen, an den Inhalt von Telefongesprächen oder Textnachrichten zu gelangen.
Unklar ist, ob die Angreifer auch E-Mails oder andere Daten aus Mobilfunkverbindungen mitlesen konnten. Vertreter des FBI und der Cybersicherheitsbehörde Cisa empfehlen laut NBC News inzwischen, verschlüsselte Kommunikation zum Beispiel für Textnachrichten zu verwenden. So sind die Inhalte vor einem Zugriff geschützt.
Erstaunlich ist, dass sich die chinesischen Angreifer womöglich immer noch in den Systemen der amerikanischen Telekomanbieter befinden. Ein Behördenvertreter sagte vor Journalisten: «Wir können nicht mit Sicherheit sagen, dass der Gegner aus den Netzen entfernt worden ist.» Das liege daran, dass das genaue Ausmass der Operation noch immer unklar ist – auch nach Monaten.
Die Angreifer sind zudem vermutlich auf verschiedenen Wegen in die Netzwerke eingedrungen und spionieren verschiedene Systeme aus. Das macht das Entdecken der Schadsoftware schwierig. Und weil nicht genau bekannt ist, wie die Akteure auf die Geräte gelangen konnten, ist es schwierig, diese Zugänge auch wirksam zu sperren.
Salt Typhoon seit Jahren für ausgeklügelte Angriffe bekannt
Hinter dem Angriff steht eine Gruppe, die mindestens seit August 2019 aktiv ist und von Sicherheitsforschern «Salt Typhoon» oder «Ghost Emperor» genannt wird. Damals führte die Gruppe Angriffe auf Hotels weltweit und auf Behörden durch, wie die Firma Eset 2021 publik machte. Aus den Jahren 2020 und 2021 ist zudem eine Spionagekampagne bekannt, die vor allem Telekomfirmen und Behörden in Südostasien umfasste.
Die Gruppe fiel bereits damals durch ihr technisch sehr ausgeklügeltes Vorgehen auf. Die IT-Sicherheitsfirma Kaspersky nannte Salt Typhoon 2021 einen «handwerklich hoch qualifizierten und versierten» Akteur, der «eine breite Palette an ungewöhnlichen und ausgefeilten Techniken» einsetze, um unerkannt zu bleiben. Diese Beschreibung passt auch heute noch.
Dass hinter Salt Typhoon zumindest indirekt der chinesische Staat stecken dürfte, war schon früh klar. Das Unternehmen Kaspersky fand in seiner Analyse mehrere Hinweise darauf, dass die Angreifer chinesischsprachig waren. Eset wiederum stellte Verbindungen zu anderen chinesischen Gruppen her.
Dass es sich um einen staatlichen Akteur aus dem asiatischen Raum handeln muss, wird aus der Auswahl der Ziele und der Absicht der Spionage deutlich. Die Gruppe hat grosse technische Fähigkeiten und kann lang andauernde Operationen durchführen, was auf grosse Ressourcen schliessen lässt, wie sie eigentlich nur Staaten haben.
Die amerikanischen Behörden gehen laut Medienberichten von einer engen Verbindung zu Chinas Ministerium für Staatssicherheit aus. Allerdings steht eine offizielle Zuordnung des Cyberangriffs, eine sogenannte Attribution, durch die USA bisher noch aus.
China hat ein wachsendes Interesse an globaler Politik
Welche weitere Länder von der chinesischen Spionageaktion betroffen sind, ist bisher nicht bekannt. Laut den amerikanischen Behörden sollen Telekomfirmen aus Europa und dem indopazifischen Raum dazu gehören. Wenn es selbst den USA kaum gelingt, die Angreifer aus ihren Netzen zu entfernen, dürfte das vielen der anderen betroffenen Ländern noch vor viel grössere Herausforderungen stellen.
Die weltweite Spionageaktion Chinas zeigt die wachsenden globalen Ambitionen des Landes. Lange war Peking vor allem für Wirtschaftsspionage mittels Cyberangriffen bekannt. Das hat sich geändert. Der Handelskrieg mit den USA verschärft sich, und auch die EU beteiligt sich zusehends. Das verstärkt das Interesse Pekings daran, welche Überlegungen die politischen Gremien anstellen und welche Entscheide sie vorbereiten.
Die instabile Weltlage durch die Krieg in der Ukraine und im Nahen Osten erhöhen den Bedarf nach nachrichtendienstlichen Erkenntnisse ebenfalls – nicht nur in Peking, sondern in allen bedeutenden Hauptstädten der Welt. Spionageoperationen mit Cybermitteln erhalten dadurch zusätzlichen Auftrieb. Die Bedrohung in der vernetzten Welt steigt.
