Einheit 61398 residiert laut einem Bericht der New York Times am Stadtrand von Shanghai. Das Hauptquartier der geheimen Armee-Einheit ist in einem unscheinbaren weißen Büroturm untergebracht. Aus diesem zwölfstöckigen Gebäude sollen in den vergangenen Jahren Hunderte Hacker-Angriffe auf US-Konzerne und Regierungscomputer verübt worden sein. Das belegt eine Studie, aus der die Zeitung berichtet.
Auf 76 Seiten bringt die Sicherheitheitsfirma Mandiant die Einheit 61398 in direkte Verbindung mit den berüchtigten Hackern der "Comment Crew" - besser bekannt als Shanghai-Gruppe. Ihre Angriffe verfolgt Mandiant bis in Nachbarschaft des Büroturms zurück. Daraus folgern die Sicherheitstechniker, dass die chinesische Volksbefreiungsarmee hinter der Offensive steckt. Andere Theorien seien zu abseitig. "Entweder die Angriffe kommen aus der Einheit 61398", sagt Kevin Mandia, Geschäftsführer von Mandiant. "Oder der Staat, der das Internet weltweit am stärksten überwacht, hat keine Ahnung über eine Hackergruppe mit Tausenden Mitarbeitern in direkter Nachbarschaft der Einheit."
Nach Einbrüchen in Firmen wie Coca-Cola konzentrierte sich die Shanghai-Gruppe zuletzt auf die kritische Infrastruktur in den USA. Sie brach in Computer von Energieversorgern und in Datenbanken der US-Regierung ein, stahl Baupläne, Gerichtsakten und Preislisten. In den vergangenen sechs Jahren wurden Mandiant zufolge etwa 140 US-Firmen aus 20 Schlüsselindustrien attackiert. Die Gruppe hackte vor allem IT-Firmen, Luftfahrt- und Rüstungsfirmen sowie Regierungsbehörden.
Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von Youtube angereichert
Im Schnitt saugten die Hacker jeweils etwa ein Jahr lang Terabytes an Firmengeheimnissen ab. Gelingt das Kapern, steuerten die Hacker die US-Rechner am liebsten komplett fern. Was auf den Bildschirmen der Hacker passierte, zeigt Mandiant in einem Videomitschnitt.
Die technische Ausrüstung der Cyberkrieger ist bestens. Laut Mandiant nutzt die chinesische Hackerelite mehr als 1000 Server in 13 Ländern für ihre Angriffe. Neben der Professionalität der Angriffe sei das massive Technikaufgebot deshalb Indiz dafür, dass in dem Büroturm der chinesischen Armee "Hunderte, wenn nicht Tausende" Programmierer, Ingenieure, Recherchespezialisten und Linguisten arbeiten.
Drei Hacker der Shanghai-Gruppe konnte Mandiant laut NYT namentlich identifizieren. Die Aktivitäten von UglyGorilla, DOTA und SuperHard verfolgten die Sicherheitsexperten bis in die unmittelbare Nachbarschaft des weißen Büroturms. Von dort aus registrierten die Programmierer Internetadressen sowie E-Mail-Adressen für ihre Angriffe und nutzten häufig die gleichen Computer.
Das chinesische Außenministerium wies die Vorwürfe der Mandiant-Studie als haltlos zurück. "Willkürliche Kritik, die sich auf primitive Daten stützt, ist unverantwortlich, unprofessionell und hilft nicht das Problem zu lösen", sagte ein Sprecher. Cyberangriffe würden häufig aus mehreren Staaten gleichzeitig und anonym ausgeführt, ihr Ursprung sei extrem schwer nachweisbar. China verurteile jegliche Form solcher Aktivitäten, weil es selbst Opfer zahlreicher Angriffe sei. Auch das chinesische Verteidigungsministerium bezeichnete die Studie als "nicht professionell und nicht mit den Fakten übereinstimmend".
Mandiant hat eine besondere Beziehung zur New York Times, die den Bericht exklusiv vorab erhielt. Das Unternehmen untersuchte vor kurzem den chinesischen Hacker-Angriff auf die Rechner der Zeitung. Eine Verbindung zur Schanghai-Gruppe oder der Einheit 61398 konnten die Sicherheitsexperten aber nicht nachweisen.