Operation Soft Cell Hacker spähen weltweit Mobilfunkanbieter aus

Ein Mann tippt Programmcode in ein Notebook (Symbolbild).

(Foto: REUTERS)
  • Seit mindestens 2017 versucht eine Hackergruppe, sich weltweit Zugang zu den Systemen von Handynetzbetreibern zu verschaffen.
  • Eine Cybersicherheitsfirma hat den Angriff aufgespürt und erklärt: Die Hacker seien auf der Suche nach Verbindungsdaten ganz bestimmter Menschen.
  • Die Analysten verdächtigen staatliche Hacker aus China.
  • Angegriffen wurden demnach Anbieter in Afrika, Asien, Europa und dem Nahen Osten. Ob auch deutsche Unternehmen betroffen sind, eklärte die Firma nicht.
Von Max Muth

Es ist ein globaler Angriff: Seit mindestens 2017 versucht eine mutmaßlich chinesische Hackergruppe, Zugang zu den Systemen von Handynetzbetreibern zu bekommen. So steht es in einem ausführlichen Bericht, den die US-amerikanisch-israelische IT-Sicherheitsfirma Cybereason in der Nacht zum Dienstag veröffentlich hat. Sie hat den Späh-Angriff "Operation Soft Cell" getauft. Ziel der Hacker sei bei jedem der Angriffe das gleiche gewesen: die Datenbank, in der die Verbindungsdaten der Telefonkunden gespeichert werden.

Inhalte von Nachrichten oder Telefongesprächen wurden demnach nicht ausgespäht. Doch die erbeuteten Metadaten einer Verbindung sind ähnlich wertvoll für die meisten Spionagezwecke. Zu ihnen gehören die Teilnehmer eines Anrufs, die Dauer eines Gesprächs, die benutzten Geräte und Geodaten - also wo sich der Telefonierende aufhält. Spione können mit den Daten also feststellen, wer wann wo und mit wem wie lange telefoniert hat.

Theoretisch hätten die Hacker Zugang zu Verbindungsdaten von Hundertausenden Kunden gehabt, dem Chef der Threat-Research-Abteilung von Cybereason, Assaf Dahan, zufolge hatten sie es jedoch nur auf die Daten von etwa 20 Personen abgesehen. Wer diese Personen sind und warum die Angreifer sie ausspionieren wollen, ist unbekannt. Die Attacke erinnert an einen Angriff auf den Update-Mechanismus von Asus-Laptops, der vor einigen Wochen von Kasperky Lab bekannt gemacht wurde. Dabei waren ebenfalls potenziell Hunderttausende Rechner betroffen, tatsächlich ausspioniert wurde jedoch nur eine kleine Zahl von MAC-Adressen.

Cybereason hält sich bedeckt, welche Anbieter von der Attacke betroffen sind, bestätigte aber der US-Zeitschrift Wired, dass mindestens zehn sowohl große als auch kleine Unternehmen in Asien, Europa, Afrika und dem Nahen Osten betroffen sind. Ziele in Nordamerika seien bisher nicht festgestellt worden. Auf eine Anfrage der SZ, ob auch ein deutscher Anbieter betroffen ist, antwortete Dahan, er könne sich aus juristischen Gründen bisher dazu nicht äußern.

Analysten verdächtigen China

Cybereason will sich nicht zu hundert Prozent festlegen, wer für die Angriffe verantwortlich ist, kommt aber aufgrund der technischen Ausstattung und Hartnäckigkeit der Hacker zu dem Schluss, dass es sich bei dem Angreifer um eine staatlich unterstützte Gruppe handeln dürfte. Vorgehen und benutzte Software ließen zudem darauf schließen, dass es sich um "APT10" handeln dürfte. APT steht für "advanced persistent threat" (etwa: fortschrittliche, andauernde Bedrohung. Die Abkürzung stammt von der IT-Sicherheitsfirma FireEye, die Aktivitäten der Gruppe seit 2009 verfolgt. Die Ziffer 10 steht dabei einfach für die Reihenfolge, in der die Profi-Hackertruppen entdeckt wurden. Die Konkurrenzfirma Crowdstrike führt die Gruppe unter dem Namen "Stone Panda".

Die IT-Sicherheitsforscher geben zwar zu bedenken, dass auch eine rivalisierende Gruppe die Techniken der chinesischen Hacker kopiert haben könnte, um ihnen den Angriff in die Schuhe zu schieben. Sie kommen aber nach Auswertung aller Informationen zu dem Schluss, dass dieses Szenario eher unwahrscheinlich ist. Sie sehen die mutmaßlich chinesische Attacke als Teil eines schwelenden globalen Cyberkonflikts. Dass APT10 tatsächlich mit dem chinesischen Staat in Verbindung steht, sagt auch die US-Regierung. Ende 2018 klagte das US-Justizministerium zwei chinesische Staatsbürger an, weil sie an verschiedenen Angriffen der Gruppe beteiligt gewesen sein sollen. Nur extrem selten haben Behörden genügend Beweise, um auch gerichtlich gegen Hacker vorzugehen.

Auch die NSA interessiert sich für Metadaten von Anrufen

Die Gruppe verschaffte sich dem Bericht zufolge über einen unsicheren Webdienst Zugang zum System der Telekommunikationsfirmen und benutzte eine modifizierte Version des bekannten Hacking-Werkzeugs "Mimikatz", um Login-Daten der Benutzer aus dem Arbeitsspeicher des betroffenen Systems auszulesen. Von dort ausgehend bewegten sich die Hacker möglichst unauffällig weiter im System, bis sie fanden, wonach sie suchten. Wurden sie von Verteidigern entdeckt, stoppten sie ihre Attacke und führten sie Monate später mit modifizierten Werkzeugen weiter.

Die mutmaßlich chinesischen Hacker sind nicht die Einzigen, die sich für die Metadaten von Handyanbietern interessieren. Laut Informationen, die der Whistleblower Edward Snowden 2013 veröffentlicht hatte, speicherte auch die US-Behörde NSA jahrelang Unmengen an Metadaten. In einem von Snowden geleakten Newsletter bezeichnete die NSA dabei Metadaten als ihr "wertvollstes Werkzeug". Bis 2015 zwang die Behörde Telekommunikationanbieter, alle Verbindungsdaten ungefragt weiterzugeben. Nach den Snowden-Enthüllungen wurde der Zugang eingeschränkt. Doch auch mithilfe des Nachfolgeprogramms CDR sammelte die NSA laut einem Transparenzbericht allein 2017 mehr als 500 Millionen Anrufdetails.

Hacker Hacker attackieren Hunderttausende Asus-Computer

Shadowhammer-Angriff

Hacker attackieren Hunderttausende Asus-Computer

Es ist eine äußerst hinterhältige Attacke. Die Angreifer infiltrierten die offiziellen Update-Server der Firma. Kunden luden nichtsahnend Schadsoftware auf ihre Geräte.   Von Max Muth