18. Februar 2019
Anastasia Bergstern

Unternehmen und Regierungsbehörden in den Vereinigten Staaten waren Ziel aggressive Angriffe iranischer und chinesischer Hacker, die nach Meinung von Sicherheitsexperten durch den Rückzug von Präsident Trump aus dem iranischen Atomabkommen im letzten Jahr und seine Handelskonflikte mit China angeheizt wurden.

Die jüngsten Angriffe des Iran auf amerikanische Banken, Unternehmen und Regierungsbehörden waren umfangreicher als zuvor. Dutzende von Unternehmen und mehrere US-amerikanische Agenturen sind betroffen.

Die Angriffe, die Iran von Analysten der National Security Agency und der privaten Sicherheitsfirma FireEye zugeschrieben wurden, führten während des Regierungsstillstands im vergangenen Monat zu einer Dringlichkeitsanweisung des Heimatschutzministeriums.

Die iranischen Angriffe fallen mit einer erneuten chinesischen Offensive zusammen, die darauf ausgerichtet ist, Handels- und Militärgeheimnisse von amerikanischen Militärunternehmern und Technologieunternehmen zu stehlen, so neun Geheimdienstler, private Sicherheitsforscher und Anwälte, die mit den Angriffen vertraut sind und die aufgrund der Vertraulichkeit nur anonym darüber sprechen. Eine Zusammenfassung eines Geheimdienst-Briefings, der der Open Media Society vorgelegt wurde, besagt, dass Boeing, General Electric Aviation und T-Mobile zu den jüngsten Zielen chinesischer Industriespionagebestrebungen gehörten. Die Unternehmen lehnten es ab, die Bedrohungen zu diskutieren, und es ist nicht klar, ob einer der Hacks erfolgreich war.

Die chinesische Cyberspionage kühlte sich vor vier Jahren ab, nachdem Präsident Barack Obama und der chinesische Staatspräsident Xi Jinping einen Meilenstein erreicht hatten, um Hacks zu stoppen, die Geschäftsgeheimnisse stehlen sollten. Die Vereinbarung von 2015 scheint jedoch inoffiziell aufgehoben worden zu sein, während die anhaltenden Handelsspannungen zwischen den Vereinigten Staaten und China, den Geheimdienstbehörden und privaten Sicherheitsforschern, so der Anschein. Chinesische Hacks sind auf frühere Ebenen zurückgekehrt, obwohl sie jetzt stealthiger und raffinierter sind.

„Cyber ist eine der Möglichkeiten, mit der Gegner uns angreifen und auf effektive und unangenehme Weise treffen können, die weit unter der Schwelle eines bewaffneten Angriffs oder der Kriegsgesetze liegen“, sagte Joel Brenner, ein ehemaliger Chef der US-amerikanischen Gegenspionageabwehr unter der Leitung des nationalen Regimes Intelligenz.

Bundesbehörden und Privatunternehmen sind wieder da, wo sie sich vor fünf Jahren befanden: Sie kämpfen gegen immer raffiniertere, an die Regierung angeschlossene Hacker aus China und dem Iran – zusätzlich zu den ständigen Bemühungen aus Russland -, die Handels- und Militärgeheimnisse stehlen und Chaos säen wollen. Es scheint, dass die Hacker ihre Fähigkeiten während der Pause erheblich verbessert haben. Russland gilt nach wie vor als der wichtigste Gegner der USA. Es wird angenommen, dass russische Hacker Angriffe auf Atomkraftwerke, das Stromnetz und andere Ziele gestartet haben und dass sie sich während der Wahlen in den USA weit verbreitet haben und Desinformation verbreiten.

Drohungen aus China und dem Iran hörten nie ganz auf, aber die iranischen Hacker waren nach der Unterzeichnung des Atomabkommens im Jahr 2015 viel weniger aktiv. Nach rund 18 Monaten, so die Geheimdienstler, beendete Peking seine 10-jährige Online-Anstrengung, um Geschäftsgeheimnisse zu stehlen.

Chinesische Hacker haben jedoch wieder mit kommerziell motivierten Angriffen begonnen, sagten Sicherheitsforscher und Datenschutzanwälte. Eine Priorität für die Hacker, so die Forscher, ist die Unterstützung des Pekinger Fünf-Jahres-Wirtschaftsplans, der China zu einem führenden Unternehmen im Bereich künstlicher Intelligenz und anderer Spitzentechnologien machen soll.

„Ein Teil der jüngsten Nachrichtensammlung diente militärischen Zwecken oder der Vorbereitung auf zukünftige Cyberkonflikte, aber ein Großteil des jüngsten Diebstahls wird von den Anforderungen des Fünfjahresplans und anderen Technologiestrategien bestimmt“, sagte der Direktor, Adam Segal des Cyberspace-Programms beim Council on Foreign Relations. „Sie wollten immer wiederkommen.“

Beamte der chinesischen Botschaft in Washington antworteten nicht auf Anfrage für eine Stellungnahme.

Segal und andere chinesische Sicherheitsexperten erklärten, Angriffe, die einst von Hackern in der Volksbefreiungsarmee Chinas durchgeführt worden wären, werden jetzt vom chinesischen Sicherheitsministerium geführt.

Diese Hacker können ihre Spuren besser verdecken. Anstatt die Ziele direkt anzusteuern, haben sie eine Art Seitentür benutzt, indem sie in die Netzwerke der Lieferanten der Ziele einbrachen. Sie haben es auch vermieden, Malware zu verwenden, die üblicherweise in China auftritt. Stattdessen müssen sie den Datenverkehr verschlüsseln, Serverprotokolle löschen und andere Verschleierungsstrategien anwenden. „Der Fingerabdruck der heutigen chinesischen Operationen ist sehr unterschiedlich“, sagte Priscilla Moriuchi, die einst die Abteilung für Cyberbedrohungen in Ostasien und im Pazifik der National Security Agency leitete. Zu ihren Aufgaben gehörte auch die Feststellung, ob Peking die Vertragsbedingungen von 2015 eingehalten hatte. „Diese Gruppen kümmern sich um die Zuordnung. Sie wollen nicht erwischt werden. “

Es ist schwierig, die Zahl der Industriespionage-Angriffe zu quantifizieren, zum Teil, weil sie hauptsächlich dazu bestimmt sind, strategische Geschäftsgeheimnisse zu stehlen, und nicht die Art von persönlichen Informationen über Kunden und Mitarbeiter, die Unternehmen offenlegen müssen. Nur Airbus hat in den letzten Wochen bestätigt, dass chinesische Hacker in die Datenbanken eingedrungen sind.

Viele der Angriffe des chinesischen Ministeriums für Staatssicherheit waren gegen strategische Ziele wie Internetdiensteanbieter gerichtet, die Zugang zu Hunderttausenden, wenn nicht Millionen von Unternehmens- und Regierungsnetzwerken haben.

Letzte Woche veröffentlichte Frau Moriuchi, die jetzt Bedrohungsdirektorin der Cybersecurity-Firma Recorded Future ist, einen Bericht über eine jahrelange Stealth-Kampagne des Ministeriums, um Internet-Service-Provider in Westeuropa und den USA sowie deren Kunden zu hacken.

Das einzige Hacking-Ziel, das Ministerium öffentlich zu konfrontieren, war Visma, ein norwegischer Internetdienstanbieter mit 850.000 Kunden. Ziel des Angriffs auf Visma war es, einen breiten Zugang zum geistigen Eigentum seiner Kunden, zu strategischen Plänen und E-Mails zu erhalten, einschließlich derjenigen einer amerikanischen Anwaltskanzlei, die sich mit Angelegenheiten des geistigen Eigentums für Kunden aus den Bereichen Automobil, Biomedizin, Pharmazie und Technologie befasst auf aufgenommene Zukunft.

Die Visma-Attacke war schwerer zu verfolgen als frühere Vorfälle, die typischerweise mit sogenannten spearphishing-E-Mails begannen, um persönliche Informationen zu stehlen. Dieser Angriff begann mit gestohlenen Anmeldeinformationen für den Softwaredienst eines Drittanbieters, Citrix. Und statt Malware, die leicht nach China zurückverfolgt werden kann, benutzten die Angreifer Malware, die im sogenannten Dark Web verfügbar ist und von überall herkommen konnte. Sie nutzten auch den Online-Speicherdienst Dropbox, um gestohlene E-Mails und Dateien zu verschieben.

Bundesbehörden versuchen auch, neue iranische Spionagekampagnen abzuwehren.

Nachdem sich die Trump-Regierung aus dem Atomabkommen zurückgezogen hatte, sagte Kirstjen Nielsen, der Sicherheitsminister des Heimatland-Ministeriums, vor dem Kongress aus, ihre Agentur habe „die Möglichkeit vorhergesehen“, dass der Iran Angriffe startete. Die iranischen Angriffe, die letzten Monat mehr als ein halbes Dutzend Bundesbehörden getroffen hatten, erregten die Abteilung immer noch. Sicherheitsforscher sagten, die Hacks, die die zugrundeliegenden Schwächen des Rückgrats des Internets ausnutzten, würden fortbestehen und seien schädlicher und weiter verbreitet, als die Behördenvertreter dies eingestanden hätten. Iranische Hacker starteten im letzten Jahr ihre letzte Angriffswelle in den Golfstaaten. Seitdem haben sie in zwölf europäischen Ländern und den Vereinigten Staaten auf 80 Ziele – darunter Internet-Diensteanbieter, Telekommunikationsunternehmen und Regierungsbehörden – ausgedehnt, berichten Forscher von FireEye, die im vergangenen Monat erstmals über die Anschläge berichtet hatten.

Die aktuellen Hacks sind schwerer zu fassen als bei früheren Angriffen des Iran. Anstatt die Opfer direkt zu treffen, sagten die Forscher von FireEye, dass iranische Hacker das zentrale Routing-System des Internets verfolgt und den Datenverkehr zwischen sogenannten Domain-Registraren abgefangen haben. Nachdem sie den Web-Traffic ihrer Kunden abgefangen hatten, verwendeten sie gestohlene Anmeldeinformationen, um Zugriff auf die E-Mails ihrer Opfer zu erhalten. (Registrierstellen für Domänennamen besitzen die Schlüssel zu Hunderten, vielleicht Tausenden von Websites von Unternehmen.)

„Sie nehmen ganze Postfächer mit Daten“, sagte Benjamin Read, Senior Manager für Cyberespionage-Analyse bei FireEye. Read sagte, iranische Hacker hätten auf Polizeikräfte, Geheimdienste und Außenministerien abgezielt und auf eine klassische, staatlich unterstützte Spionagekampagne hingewiesen, anstatt auf ein gewinnorientiertes Motiv.

Es gibt eine lange Geschichte iranischer Angriffe gegen die Vereinigten Staaten, und Episoden aus fünf oder mehr Jahren werden gerade veröffentlicht.

Am Mittwoch verkündete das Justizministerium eine Anklageschrift gegen die ehemalige Geheimdienstspezialistin der Luftwaffe, Monica Witt, die angeklagt wurde, Iran bei einer Online-Spionage-Kampagne unterstützt zu haben. Vier Angehörige des iranischen Korps der Islamischen Revolutionsgarden wurden ebenfalls wegen „Computereinbrüchen und verstärktem Identitätsdiebstahl“ angeklagt, die sich gegen Mitglieder der US-Geheimdienste richteten.

Letzte Woche sagte das Finanzministerium, dass es Sanktionen gegen zwei iranische Unternehmen, New Horizon Organization und Net Peygard Samavat Company, und mehrere mit ihnen verbundene Personen verhängt. Der Finanzminister sagte, New Horizon richtete jährliche Konferenzen ein, auf denen Iran Informationen von ausländischen Teilnehmern erhalten und sammeln könnte.

Witt nahm an einer der Konferenzen teil, heißt es in der Anklageschrift. Net Peygard nutzte die Informationen, die sie zur Verfügung gestellt hatte, um 2014 eine Kampagne zu starten, um die Online-Aktivitäten von Regierungs- und Militärpersonal der Vereinigten Staaten zu verfolgen, sagten Finanzminister.

Vertreter der iranischen Mission bei den Vereinten Nationen reagierten nicht auf Ersuchen einer Stellungnahme.

Die jüngsten iranischen Angriffe haben amerikanische Beamte verunsichert. Aber nachdem die Dringlichkeitsanweisung über den letzten Monat erlassen wurde, hat die Agentur für Cybersicherheit und Infrastruktursicherheit des Heimatschutzministeriums sie weitgehend abgelehnt.

Ein Beamter der Cybersecurity-Agentur sagte, es bestehe die Überzeugung, dass keine Informationen gestohlen worden seien und die Angriffe die Operationen nicht „wesentlich“ beeinflusst hätten. Read von FireEye und anderen erklärten, dass die digitale Spionage des Iran spürbar eskaliert wäre.

„Wenn Sie den Iranern sagen, dass Sie die Vereinbarung beenden und alles tun werden, um die iranische Regierung zu beseitigen, können Sie nicht überrascht sein, wenn sie unsere Regierungsnetzwerke angreifen“, sagte der ehemalige US-Beamte der Spionageabwehr.