Mögliche Sabotageakte Wie chinesische Hacker Zugriff auf kritische US-Infrastruktur erlangten

NSA und FBI bestätigen: Eine chinesische Hackergruppe soll offenbar fünf Jahre lang Zugriff auf bedeutende Versorgungsnetze gehabt haben. Der potenzielle Schaden hätte immens ausfallen können.

Fünf Jahre lang sollen vom chinesischen Staat unterstützte Hacker sich in kritischen Infrastrukturen der USA versteckt haben. Dies gaben US-Behörden nach dem Zerschlagen einer groß angelegten Hackeroperation bekannt, wie das deutsche Nachrichtenmagazin «Der Spiegel» berichtet. Die chinesische Gruppierung «Volt Typhoon» soll laut eines unter anderem vom US-Geheimdienst NSA sowie der Bundespolizei FBI herausgegebenen Berichts eine systematische Kampagne zur Unterwanderung der Infrastrukturbetreiber geplant haben.

Insgesamt sechs amerikanische Sicherheitsbehörden sowie deren Pendants aus Grossbritannien, Kanada und Australien arbeiteten an dem Bericht, der 45 Seiten umfasst und Details zu den Dimensionen der Operation offenlegen soll. Demnach hätten sich die Täter einerseits in Netzwerke zur Kontrolle des Flug-, Schienen- und Autoverkehrs eingeschlichen und andererseits Unternehmen, die für Pipelines, Wasser- und Abwasserwerke verantwortlich zeichnen, ins Visier genommen. Welche Unternehmen betroffen waren, wurde nicht veröffentlicht.

Angreifern fielen Accounts und Passwörter in die Hände

Immer wieder wurde in den zurückliegenden Jahren eindringlich vor diesen Hackerangriffen gewarnt, etwa von Microsoft im vergangenen Mai. Damals teilte der Tech-Riese mit, von Aktivitäten der «Volt Typhoon»-Mitglieder in den Netzen der strategisch bedeutsamen Pazifikinsel Guam zu wissen. So hätten die Hacker gezielt Angestellte der betroffenen Organisationen ausgeforscht. Das Ziel sei gewesen, sich dann mit deren Accounts Zugang zu den Netzwerken zu sichern und sich in diesen festzusetzen.

Für Proteste verwendetChina knackt Apples AirDrop

Dabei gingen die Täter offenbar auffällig unauffällig vor: So verzichteten sie darauf, eigene Schadprogramme zu installieren. Stattdessen setzten die Hacker auf bereits installierte Werkzeuge auf den attackierten Rechnern, was deren Entdeckung deutlich erschwerte. Mithilfe der «Living off the Land» genannten Methode erbeuteten die Angreifer im Laufe der Zeit wichtige Accounts und Passwörter, die ihnen unter anderem direkten Zugriff auf Überwachungskameras ermöglichten.

Planungen zu gross angelegten Sabotageakten?

In den Augen der US-Ermittler ist das ein schlechtes Zeichen. Eric Goldstein, ein hoher Beamter der Cybersicherheitsagentur CISA, erklärte gegenüber der Nachrichtenagentur Reuters: «Wir sind ausserordentlich besorgt über die bösartigen Cyberaktivitäten des staatlich geförderten Akteurs aus der Volksrepublik China.» So hätten die meisten identifizierten Opfer «keinen legitimen Spionagewert». Daraus leiten die US-Behörden ab, dass Planungen zu gross angelegten Sabotageakten vorlagen.

Dem vorgelegten Bericht nach zu Urteilen hatten die Angreifer dazu durchaus die Chance, bevor US-Ermittler ihnen vor einer Woche bedeutende Zugänge kappten. Zudem wurde das für die Attacken genutzte Botnetz deaktiviert. Bis dahin seien die Hacker nur in den IT-Umgebungen der angegriffenen Einrichtungen aktiv gewesen. Allerdings soll es möglich gewesen sein, auch die Operational Technology (OT) inklusive industrieller Kontrollsysteme zu gefährden.

Das Weisse Haus war alarmiert

Auch im Weissen Haus soll die Bedrohung Thema gewesen sein. Die Regierung habe Firmen zur Zusammenarbeit aufgefordert, um das Ausmass der Angriffe zu erfassen sowie weiteren vorzubeugen.

China selbst dementierte in der Vergangenheit immer wieder Verbindungen zu solchen Operationen.