logo

Forscher identifizieren hochentwickelte chinesische Cyberspionage-Gruppe

Eine Koalition von Sicherheitsforschern hat eine chinesische Cyberspionagegruppe identifiziert, die unter allen öffentlich bekannten chinesischen Hackereinheiten die raffinierteste zu sein scheint und nicht nur US- und westliche Regierungsbehörden, sondern auch Dissidenten innerhalb und außerhalb Chinas ins Visier nimmt.

Die Nachricht von der staatlich geförderten Hackergruppe Axiom kommt eine Woche bevor Außenminister John F. Kerry und zwei Wochen bevor Präsident Obama zu einer Reihe von hochrangigen Gesprächen in Peking eintreffen soll, unter anderem zum Thema Cybersicherheit.

In ein Bericht soll am Dienstag ausgestellt werden .

Die Arbeit von Axiom, so das FBI in einem Branchenalarm diesen Monat, sei ausgefeilter als die von Einheit 61398, einer Hacker-Einheit der Volksbefreiungsarmee, die hervorgehoben wurde in einem Bericht letztes Jahr. Fünf Mitglieder der Einheit wurden in diesem Jahr von einer US-Grand Jury angeklagt. Die Forscher stimmen der Schlussfolgerung des FBI zu und stellen fest, dass sich Axiom im Gegensatz zu Einheit 61398 auf die Spionage von Dissidenten sowie auf Wirtschaftsspionage und den Diebstahl geistigen Eigentums konzentriert.

Die Aktivitäten von Axiom scheinen von einem Nationalstaat unterstützt zu werden, um Geschäftsgeheimnisse zu stehlen und Dissidenten, prodemokratische Organisationen und Regierungen ins Visier zu nehmen, sagte Peter LaMontagne, CEO von Novetta Solutions, einem Cybersicherheitsunternehmen aus Nord-Virginia, das die Koalition anführt. Dies sind die ausgefeiltesten Cyberspionage-Taktiken, die wir in China gesehen haben.

Der Sprecher der chinesischen Botschaft, Geng Shuang, sagte in einer E-Mail, dass diese Art von Berichten oder Anschuldigungen nach bisherigen Erfahrungen in der Regel frei erfunden seien. Er wiederholte die Position Pekings, dass das chinesische Gesetz Cyberkriminalität verbiete und dass die Regierung alles in ihrer Macht Stehende getan habe, um solche Aktivitäten zu bekämpfen.

gibst du einem Klempner Trinkgeld?

Hochrangige Beamte der Obama-Regierung haben China in den letzten anderthalb Jahren öffentlich aufgefordert, seine Praxis des Stehlens von US-Geschäftsgeheimnissen zum Nutzen seiner eigenen Industrie einzustellen. China hat sich vor allem nach den Enthüllungen der weit verbreiteten Überwachung durch die US-Regierung durch den ehemaligen Auftragnehmer der National Security Agency, Edward Snowden, im vergangenen Jahr zurückgedrängt und argumentiert, dass es die Vereinigten Staaten sind, die eingedämmt werden müssen.

Geng sagte in seiner E-Mail: China ist ein Opfer dieser Art von Angriffen, so die Snowden-Enthüllungen. Nach den Anklagen der Volksbefreiungsarmee im Mai zog sich Peking aus bilateralen Gesprächen zurück, die darauf abzielten, die Spannungen im Cyberspace abzubauen.

In den letzten Wochen hat das Forschungskonsortium die Schadsoftware Axiom auf mindestens 43.000 Computern weltweit entdeckt, die Strafverfolgungsbehörden und anderen Regierungsbehörden, Journalisten, Telekommunikations- und Energieunternehmen sowie Menschenrechts- und Pro-Demokratie-Gruppen gehören.

Die Gruppe sagte dort aucho deuten darauf hin, dass Axiom möglicherweise hinter einem hochkarätigen Cyberangriff auf Google steckt, der 2010 angekündigt wurde und den Quellcode des Technologiegiganten kompromittiert und chinesische Dissidenten mit Gmail ins Visier genommen hat.

Mindestens ein chinesischsprachiger Computer in den Vereinigten Staaten wurde ins Visier genommen, heißt es in dem Bericht, ohne anzugeben, wem der Computer gehörte.

Andre Ludwig, Senior Technical Director von Novetta, sagte auch, dass Axiom versucht, Personalverwaltungsagenturen zu hacken, um die personenbezogenen Daten von Personen zu erhalten, die Zugang zu geheimen Informationen haben, die es für zukünftiges Targeting verwenden kann.

Axiom ist seit mindestens sechs Jahren aktiv und setzt Techniken ein, die es von anderen Hackergruppen abheben, so die Forscher. Zum einen ist es hochqualifiziert darin, Malware im legitimen Computerverkehr zu vergraben, sodass ein Analyst eines Unternehmens oder einer Agenturwer Verkehrsprotokolle studiert, kann es nicht erkennen, sagte Ludwig.

Die Malware namens Hikit kann mehrere Points of Presence erstellen – was Ludwig Breadcrumbs innerhalb des Netzwerks nannte, um Axiom zu helfen, sich zu bewegen und Daten zu stehlen, ohne Verdacht zu erregen.

Axiom scheint auch einen Wartungszyklus zu haben, in dem es regelmäßig Malware auswechselt, sagte Ludwig. Sie haben ein fortgeschrittenes Spielbuch, sagte er.

Anders als die Sicherheitsfirma Mandiant, die über Unit 61398 berichtete, konnten die Forscher weder die Standorte in China identifizieren, von denen aus Axiom operiert, noch ihre Mitglieder identifizieren. Die Mitglieder von Axiom, so Ludwig, könnten ihre Spuren besser verwischen als die der Einheit 61398. Sie führten beispielsweise keine E-Mail-Konten oder hatten eine Online-Präsenz, die auf sie zurückgeführt werden könnte.

Der chinesische Militärexperte Mark Stokes sagte, es sei nicht überraschend, dass die Einheit 61398 nicht so ausgereift sei wie Axiom. Diese Einheit ist Teil des zweiten Büros der Dritten Abteilung der PLA, das ungefähre Äquivalent der NSA ist. Cyber ​​scheint ein sehr kleiner Teil der breiteren Mission des zweiten Büros zu sein, der Signalaufklärung, sagte Stokes, Executive Director des Project 2049 Institute, einer Denkfabrik in Arlington. Es gibt andere Teile von 3 PLA, von denen vernünftigerweise erwartet werden könnte, dass sie eine viel engagiertere Cyber-Mission haben.

Einige Sicherheitsexperten sagten, der Bericht enthält wertvolle Ratschläge zur Abhilfe, die in solchen Berichten nicht oft zu finden sind. Die Forscher erstellten benutzerdefinierte Signaturen, um Axiom-Malware auf den Computern der Benutzer zu erkennen. Dies ist die Art von Daten, die traditionell in privaten Geheimdienstgruppen ausgetauscht werden, sagten die Experten.

Dies ist der Beginn einer hoffentlich langen Reihe von branchenkoordinierten Bemühungen, diese Bedrohungsgruppen aufzudecken und dies ohne Strafverfolgung zu tun, um Unternehmen und Regierungen auf der ganzen Welt bei der Bekämpfung von Hackern zu helfen, sagte Stephen Ward, Senior Direktor von iSight Partners, einem weiteren Koalitionsmitglied. Dies ist ein großer erster Schritt.

Weitere Mitglieder der Koalition sind Microsoft, Bit9, Cisco, FireEye, F-Secure, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity und Bedrohungsforscher, die nicht identifiziert werden wollten.