bedeckt München 27°

Hacker:Tagsüber Spionage, abends Banküberfall

File photo of workers cleaning windows of a building behind China's national flag at a commercial district in Beijing

Eine neue chinesische Hackergruppe ist offenbar nicht nur im Auftrag des Staates unterwegs. Nebenbei verdienen sich die Hacker ein Zubrot mit gewöhnlicher Cyberkriminalität. (Symbolbild)

(Foto: Kim Kyung-Hoon, Reuters)
  • Die IT-Sicherheitsfirma FireEye will eine weitere vom chinesischen Staat gesponserte Hackergruppe entdeckt haben. Sie nennen sie "Double Dragon" oder "APT41".
  • Anders als alle anderen bisher beobachteten chinesischen Gruppen versucht sich APT41 offenbar auch finanziell zu bereichern.
  • Unklar ist, inwieweit die staatlichen Auftraggeber über den Nebenjob der Hacker Bescheid wissen.

Die Welt der Hacker ist unübersichtlich. Es gibt White-Hat-Hacker, die nach ethischen Maßstäben agieren und nur mit Erlaubnis hacken. Die Black Hats stehen dagegen auf der anderen Seite und hacken für ihren finanziellen oder anderweitig persönlichen Vorteil. Grey Hats verorten sich dazwischen und sind moralisch flexibel. Die meisten H acktivisten, die für politische Ziele kämpfen, fallen wohl in diese Kategorie.

Eine Sonderstellung nimmt die Gruppe der sogenannten APTs, kurz für advanced persistent threat, ein. "Fortgeschrittene anhaltende Bedrohung", so nennen sich die Gruppen nicht selbst, sondern Beobachter. Angeblich wurde die Formulierung zuerst von einem Angehörigen der US-Luftwaffe verwendet. APT werden Hackergruppen genannt, die über mehrere Jahre professionelle Operationen gegen strategische Ziele durchführen. Das macht sie verdächtig, von Nationalstaaten unterstützt zu werden oder gar Teil von deren Geheimdiensten oder Armeen zu sein. Für die einzelnen Gruppen haben sich IT-Sicherheitsfirmen teils abenteuerliche Namen wie "Fancy Bear" oder "Wicked Panda" überlegt. Die US-Firma FireEye nummerierte die so eingestuften Gruppen einfach durch. Bis Dienstag waren 40 APTs bekannt. Jetzt gesellt sich eine weitere dazu.

Auf der Blackhat-Konferenz in Las Vegas treiben sich, anders als der Name suggeriert, wohl mehr "graue" und "weiße" Hacker herum. Dort hat FireEye nun APT41 oder "Double Dragon" vorgestellt. Die Hackergruppe ist demnach seit 2012 aktiv. Sie beschaffe für den chinesischen Staat Informationen und stehle für ihn geistiges Eigentum, schreiben die Forscher. Operationen der Gruppe wollen sie unter anderem in Frankreich, den Niederlanden, der Schweiz, Italien, Japan und den USA festgestellt haben. Die Gruppe konzentriere sich bei ihren Angriffen auf Branchen wie das Gesundheitswesen, Hightech-, Mobilfunkunternehmen, Universitäten und andere Bildungseinrichtungen sowie die Computerspielindustrie.

China ist eine der führenden Hacker-Nationen, mehr als die Hälfte der von FireEye beobachteten aktiven APT sollen von China aus oder für den chinesischen Staat operieren. In vielen Fällen sind die von den Gruppen angegriffenen Branchen genau diejenigen, in denen die chinesische Führung ihren Fünf-Jahres-Plänen gemäß besonders viel erreichen will. Bis 2020 will China etwa große Fortschritte beim Umstieg von alter Schwerindustrie auf moderne Informationstechnologie und in der Gesundheitstechnologie machen. Die beiden Ziele will China auch bis 2025 weiter verfolgen, dazu kommen weitere Bereiche wie künstliche Intelligenz, Materialforschung und neue Forschung zur Energiegewinnung.

Staatliche Hacker mit Nebenjob

Was an den jetzt geouteten Hackern besonders ist: Sie spionieren offenbar nicht nur, sondern verhalten sich zusätzlich wie gewöhnliche Cyberkriminelle. Die FireEye-Experten haben die Uhrzeiten ausgewertet, zu denen die Hacker aktiv waren. Dabei stellten sie fest, dass sie in ihrem mutmaßlichen Feierabend regelmäßig versuchten, aus ihren Hacking-Einsätzen auch Profit für den eigenen Geldbeutel zu schlagen. Sie nutzten dabei Software-Werkzeuge, die auch bei ihren Spionageaufträgen zum Einsatz kamen. In einem Fall hätten die Spione zuerst versucht, die Kryptowährung eines Computerspiel-Unternehmens zu manipulieren, mit der Spieler innerhalb des Spiels virtuelle Gegenstände kaufen können. Als das nicht klappte, installierten die Hacker eine Erpresser-Software im Netzwerk der Firma und wollten so die Zahlung von Lösegeld erpressen. Dafür nutzten sie eine im Darknet erhältliche Erpresser-Software, deren Macher von den Benutzern im Erfolgsfall eine Kommission von 20 Prozent des Gewinns einstreichen.

Eine mögliche Erklärung für die Nebenjobs der Hacker liefert die Entstehungsgeschichte von APT41. Demnach waren die Akteure schon vor ihrer Zeit im Auftrag des chinesischen Staates in der Cybercrime-Szene unterwegs und wurden - anders als andere APT-Gruppen - nicht als Bestandteil staatlicher Organe wie Armee und Geheimdienst aufgebaut. Sie sind also eher freie Mitarbeiter aus der kriminellen Szene. Zumindest eines der Mitglieder der Organisation bot seine Dienste als Freelancer offenbar schon 2009 in Hackerforen an. Unklar ist laut dem Bericht der FireEye-Forscher, ob die chinesischen Auftraggeber den Nebenjob der Hackergruppe tolerieren, oder gar nichts davon wissen. Als unwahrscheinlich gilt demnach, dass die finanziell motivierten Operationen auch zum Auftrag der Gruppe gehören. Die Agentur Reuters schreibt unter Berufung auf Geheimdienstmitarbeiter, dass chinesische Hacker nicht zum ersten Mal neben ihren klassischen Aufgaben auch mit Cyberkriminalität auffallen.

Zumindest Nordkorea setzt seine Hackergruppen auch bewusst für digitale "Banküberfälle" ein. Sie sollen im Auftrag des Regimes Devisen besorgen. Das tun sie mit einigem Erfolg. Einem UN-Bericht zufolge haben sie mit Angriffen auf Kryptowährungs-Börsen und Banken mehr als zwei Milliarden Dollar erbeutet.

IT-Sicherheit Wie Cyber-Erpresser reihenweise Computer lahmlegen

Gand.Crab-Nachfolger "Sodinokibi"

Wie Cyber-Erpresser reihenweise Computer lahmlegen

Ransomware ist eines der erfolgreichsten Geschäftsmodelle der Cyberkriminalität. Gegen ausgefeilte Schadsoftware helfen nur Sicherungskopien - doch auch die bieten keine Garantie.   Von Max Muth