Telekommunikation: Hackerangriff

Eine IT-Sicherheitsfirma will großangelegte Spionage bei Mobilfunkern entdeckt haben.

Es ist ein globaler Angriff: Seit mindestens 2017 versucht eine mutmaßlich chinesische Hackergruppe, Zugang zu den Systemen von Handynetzbetreibern zu bekommen. So steht es in einem ausführlichen Bericht, den die US-amerikanisch-israelische IT-Sicherheitsfirma Cybereason in der Nacht zum Dienstag veröffentlich hat. Sie hat den Späh-Angriff "Operation Soft Cell" getauft. Ziel der Hacker sei bei jedem der Angriffe das gleiche gewesen: die Datenbank, in der die Verbindungsdaten der Telefonkunden gespeichert werden.

Inhalte von Nachrichten oder Telefongesprächen wurden demnach nicht ausgespäht. Doch die erbeuteten Metadaten einer Verbindung sind ähnlich wertvoll für die meisten Spionagezwecke. Zu ihnen gehören die Teilnehmer eines Anrufs, die Dauer eines Gesprächs, die benutzten Geräte und Geodaten - also wo sich der Telefonierende aufhält. Spione können mit den Daten feststellen, wer wann wo und mit wem wie lange telefoniert hat.

Theoretisch hätten die Hacker Zugang zu Verbindungsdaten von Hundertausenden Kunden gehabt. Wie der Chef der Threat Research-Abteilung von Cybereason Assaf Dahan sagte, hatten sie es jedoch nur auf die Daten von etwa 20 Personen abgesehen. Wer diese Personen sind und warum die Angreifer sie ausspionieren wollen, ist unbekannt. Die Attacke erinnert an einen Angriff auf den Update-Mechanismus von Asus-Laptops, der vor einigen Wochen von Kasperky Lab bekannt gemacht wurde. Dabei waren ebenfalls potenziell Hunderttausende Rechner betroffen, tatsächlich ausspioniert wurde jedoch nur eine kleine Zahl von Computern.

Cybereason hält sich bedeckt, welche Anbieter von der Attacke betroffen sind, bestätigte aber der US-Zeitschrift Wired, dass mindestens zehn sowohl große als auch kleine Unternehmen in Asien, Europa, Afrika und dem Mittleren Osten betroffen sind. Ziele in Nordamerika seien bisher nicht festgestellt worden. Auf eine Anfrage der SZ, ob auch ein deutscher Anbieter betroffen ist, antwortete Dahan, er könne sich aus juristischen Gründen bisher dazu nicht äußern.

Hinter dem Angriff steckt vermutlich eine staatlich unterstützte Gruppe

Cybereason will sich nicht zu hundert Prozent festlegen, wer für die Angriffe verantwortlich ist, kommt aber aufgrund der technischen Ausstattung und Hartnäckigkeit der Hacker zu dem Schluss, dass es sich bei dem Angreifer um eine staatlich unterstützte Gruppe handeln dürfte. Vorgehen und benutzte Software ließen zudem darauf schließen, dass es sich um "APT10" handeln dürfte. APT steht für "advanced persistent threat"(etwa: fortschrittliche, andauernde Bedrohung). Die Abkürzung stammt von der IT-Sicherheitsfirma FireEye, die Aktivitäten der Gruppe seit 2009 verfolgt. Die Zahl 10 steht dabei einfach für die Reihenfolge, in der die Profi-Hackertruppen entdeckt wurden. Die Konkurrenzfirma Crowdstrike führt die Gruppe unter dem Namen "Stone Panda".

Die IT-Sicherheitsforscher geben zwar zu bedenken, dass auch eine rivalisierende Gruppe die Techniken der chinesischen Hacker kopiert haben könnte, um ihnen den Angriff in die Schuhe zu schieben. Sie kommen aber nach Auswertung aller Informationen zu dem Schluss, dass dieses Szenario eher unwahrscheinlich ist. Sie sehen die mutmaßlich chinesische Attacke als Teil eines schwelenden globalen Cyberkonflikts. Dass APT10 tatsächlich mit dem chinesischen Staat in Verbindung steht, sagt auch die US-Regierung. Ende 2018 klagte das US-Justizministerium zwei chinesische Staatsbürger an, weil sie an verschiedenen Angriffen der Gruppe beteiligt gewesen sein sollen. Nur extrem selten haben Behörden genügend Beweise, um auch gerichtlich gegen Hacker vorzugehen.

Die Gruppe verschaffte sich dem Bericht zufolge über einen unsicheren Webdienst Zugang zum System der Telekommunikationsfirmen und benutzte eine modifizierte Version des bekannten Hacking-Werkzeugs "Mimikatz", um Login-Daten der Benutzer aus dem Arbeitsspeicher des betroffenen Systems auszulesen. Von dort ausgehend bewegten sich die Hacker möglichst unauffällig weiter im System, bis sie fanden, wonach sie suchten. Wurden sie von Verteidigern entdeckt, stoppten sie ihre Attacke und führten sie Monate später mit modifizierten Werkzeugen weiter.

Die Hacker sind nicht die einzigen, die sich für die Metadaten von Handyanbietern interessieren. Laut Informationen, die der Whistleblower Edward Snowden 2013 veröffentlicht hatte, speicherte auch die US-Behörde NSA jahrelang Unmengen an Metadaten. In einem von Snowden geleakten Newsletter bezeichnete die NSA dabei Metadaten als ihr "wertvollstes Werkzeug". Bis 2015 zwang die Behörde Telekommunikationsanbieter, alle Verbindungsdaten ungefragt weiterzugeben. Nach den Snowden-Enthüllungen wurde der Zugang eingeschränkt. Doch auch mithilfe des Nachfolgeprogramms CDR sammelte die NSA laut einem Transparenzbericht allein 2017 über 50 Millionen Anrufdetails.