US-Sicherheitsfirma vermutet chinesische Militäreinheit hinter bekannter Hackergruppe, Chinas Verteidigungsministerium dementiert

Die US-Sicherheitsfirma Mandiant veröffentlichte vor wenigen Tagen den Bericht „APT1: Exposing One of China’s Cyber Espionage Units„. Das Unternehmen untersuchte seit 2006 Angriffe auf Computersysteme von US-Unternehmen und Behörden, die der chinesischen Hackergruppe Advanced Persistent Threat Group 1 (APT1; auch ‚Comment Crew‘ oder ‚Shanghai Group‘ genannt) zugeschrieben werden. In dem jetzigen Bericht heißt es, es gebe auffällige Übereinstimmungen zwischen dieser Hackergruppe und der chinesischen Militäreinheit 61398, deren Aufgabe Staatsgeheimnis ist. Bei heise online heißt es:

Bei der Zurückverfolgung der Angriffe stellte sich heraus, dass APT1 in den vergangenen zwei Jahren mit knapp 1000 Command and Control Servern tätig war und die genutzten IPs mehrheitlich für chinesische Organisationen registriert sind. In 97 Prozent der Fälle gehen Angriffe von Rechnern aus, die mit den Spracheinstellungen „Chinese (Simplified) – US Keyboard“ arbeiten. Die Gruppe umfasse mindestens mehrere Dutzend, wenn nicht sogar hunderte Mitarbeiter – darunter müssten sich unter anderem Schadsoftware-Autoren, Industrieexperten, Linguisten und Übersetzer befinden. Den Hackern stehen bis zu 40 verschiedene Schädlings-Familien für ihre Operationen zur Verfügung. Zwei der entdeckten Werkzeuge – GETMAIL und MAPIGET – seien sogar nur bei dieser Gruppe zu finden.

Laut Mandiant haben sich die Angriffe zwar nicht genau bis zu dem Hauptsitz der militärischen Einheit zurückverfolgen lassen sondern zu einem Gebiet, in dem auch der Hauptsitz liegt – es sei aber sehr wahrscheinlich, dass die Angreifer genau dort sitzen:

“Either they are coming from inside Unit 61398,” said Kevin Mandia, the founder and chief executive of Mandiant, in an interview last week, “or the people who run the most-controlled, most-monitored Internet networks in the world are clueless about thousands of people generating attacks from this one neighborhood.”

Zudem operierte die APT1 über zwei Netzwerke in Shanghai, die „von der chinesischen Telekom mit einer besonderen Glasfaser-Kommunikations-Infrastruktur ausgestattet worden sein soll – wie es heißt: ‚Im Namen der Nationalen Verteidigung.'“ Genau dort soll auch die Einheit 61398, also das zweite Büro der dritten Abteilung des chinesischen Generalstabs lokalisiert sein.

Aus dem chinesischen Verteidigungsministerium hieß es heute, dass der Bericht von Mandiant wissenschaftlich fehlerhaft und die Anschuldigen falsch seien.

„Everyone knows that the use of usurped IP addresses to carry out hacking attacks happens on an almost daily basis,“ it [China’s Defence Ministry, Anm. d. Red.] added. „Second, there is still no internationally clear, unified definition of what consists of a ‚hacking attack‘. There is no legal evidence behind the report subjectively inducing that the everyday gathering of online (information) is online spying.“

Eine Definiton von „Online-Informationen sammeln“ aus dem chinesischen Verteidigungsministerium wäre hier gewiss spannend.

In der Antwort des Ministeriums wird zudem quasi vorgeworfen, dass, obwohl eine erhebliche Anzahl der Angriffe auf chinesische Infrastrukturen aus den USA kommen, sie diese Zahlen nicht verwenden, um die USA zu kritisieren. In der Global Times, einer landesweiten chinesischen Tageszeitung, hieß es laut Reuters, China solle Hacking-Angriffe zunehmend öffentlich machen, vor allem, da die USA dies tun.

Wir wollen 2016 noch schlagkräftiger werden. Unterstütze unsere Arbeit durch eine Spende für mehr netzpolitik.org, damit wir weiter kritisch und unabhängig bleiben können. Spenden