Am 4. März erhob das US-Justizministerium Anklage gegen zehn chinesische Staatsangehörige wegen massiver Hackerangriffe auf Regierungsbehörden, Medien und Dissidenten in den Vereinigten Staaten und auf der ganzen Welt. Sie sollen im Auftrag der chinesischen Firma i-Soon gehandelt haben, die von der Regierung in Peking beauftragt wurde. Zwei Beamte des chinesischen Ministeriums für öffentliche Sicherheit (MPS) wurden ebenfalls angeklagt und als diejenigen identifiziert, die “die Angriffe leiteten”.
Nach den der US-Justiz vorliegenden Dokumenten stützten sich der chinesische Inlandsgeheimdienst (MPS) und der Auslandsgeheimdienst (Ministerium für Staatssicherheit, MSS) beim Hacken und Stehlen von Informationen auf ein ausgedehntes Netz von Privatunternehmen und inländischen Auftragnehmern, wodurch die direkte Beteiligung der chinesischen Regierung verschleiert wurde.
In einigen Fällen bezahlten MPS und MSS private Hacker, um bestimmte Opfer anzugreifen. In vielen anderen Fällen handelte es sich um spekulative Angriffe, bei denen Hacker anfällige Computer ausfindig machten, in diese eindrangen und Informationen entnahmen, die später – entweder direkt oder indirekt – an die chinesische Regierung verkauft wurden.
Das Wachstum der chinesischen Cyberspionage und ihre Hauptbetätigungsfelder
Dies ist kein Einzelfall. In den letzten zehn Jahren hat sich das Hacking-Programm der Volksrepublik China (VRC) rasch ausgeweitet. Im Jahr 2023 erklärte der damalige FBI-Direktor Christopher Wray, dass es größer sei als das aller anderen Weltmächte zusammen. Diese Zunahme an Macht und Raffinesse hat zu Erfolgen in drei Schlüsselbereichen geführt: politische Einmischung, Sabotage kritischer Infrastrukturen und groß angelegter Diebstahl geistigen Eigentums.
Peking setzt Computernetzwerke, elektronische Kriegsführung, wirtschaftliche, diplomatische, rechtliche, militärische, nachrichtendienstliche, psychologische und militärische Täuschungsressourcen sowie Sicherheitsoperationen ein, um Staaten zu schwächen, sie wirtschaftlich von China abhängig zu machen und sie für eine “neue autoritäre Weltordnung mit chinesischen Merkmalen” empfänglicher zu machen.
Aus diesem Grund sollte das staatlich geförderte chinesische Hacking im Gegensatz zu traditionellen Interpretationen in einem breiteren Kontext verstanden werden, in dem die Kontrolle über Technologie, strategische Infrastruktur und globale Lieferketten Teil einer “transmilitärischen” und “nichtmilitärischen” Kriegsführung ist, wie sie von zwei Obersten der Volksbefreiungsarmee (PLA) in dem 1999 erschienenen Buch “Unrestricted Warfare” beschrieben wurde. Dieser Ansatz ist als “liminal warfare” bekannt – ein eskalierender Konflikt, bei dem das Spektrum des Wettbewerbs und der Konfrontation mit dem Westen so breit ist, dass das Schlachtfeld buchstäblich überall ist.
Cyberspionage als Instrument der elektronischen Kriegsführung
In der elektronischen Kriegsführung wird das Hacken in Krisen- oder Konfliktzeiten zur Sabotage eingesetzt. Angeführt werden diese Aktionen von der Volksbefreiungsarmee (PLA), dem bewaffneten Flügel der Kommunistischen Partei Chinas.
Im Jahr 2023 wurde aufgedeckt, dass eine mit der PLA verbundene Hackergruppe, bekannt als “Volt Typhoon”, über Jahre hinweg eine Vielzahl kritischer Infrastrukturen in den USA infiltriert hatte, darunter Häfen, Fabriken und Wasseraufbereitungsanlagen – sowohl auf dem Festland als auch an strategischen Orten wie Guam.
“Volt Typhoon ist eine militärische Operation mit politischen und potenziell militärisch-strategischen Zielen”, erklärte Ciaran Martin, ehemaliger Direktor der britischen Cybersicherheitsbehörde. Unter der Leitung der Cyber-Einheit der PLA wurden im Rahmen der Operation Bereitschaftsfähigkeiten – “digitale Fallen”, wie manche sie nennen – in kritischen US-Infrastrukturen installiert.
Neben einem anhaltenden Angriff auf ein Energieversorgungsunternehmen in Massachusetts im Jahr 2023, der darauf abzielte, sensible Daten über die betriebstechnische Infrastruktur abzugreifen, erlangte “Volt Typhoon” durch mehrere Angriffe auf Telekommunikationssysteme in den USA und andere kritische Infrastrukturen weltweit Berühmtheit. Eine seiner Untereinheiten, “Voltzite”, hatte es auf die Elektrizitäts- und Wasserwerke von Littleton abgesehen, was das FBI und das Cybersicherheitsunternehmen Dragos dazu veranlasste, gemeinsam zu reagieren und einen detaillierten Bericht über den Angriff und seine Eindämmung zu veröffentlichen.
Diebstahl geistigen Eigentums durch Cyberspionage
Der schädlichste Kanal für den Diebstahl geistigen Eigentums ist die Cyberspionage. Diese Angriffe ermöglichen chinesischen Unternehmen – manchmal mit direkter Unterstützung der Kommunistischen Partei oder des Staates – den Zugriff auf Informationen über Operationen, Projekte und Technologien ausländischer Firmen.
China hat staatlich unterstützte und koordinierte Cyberspionage-Kampagnen eingesetzt, um Informationen von Unternehmen in strategischen Sektoren wie Öl, Energie, Stahl und Luftfahrt zu stehlen. Diese Aktionen dienen sowohl dem Erwerb von Wissenschaft und Technologie als auch der Sammlung von Informationen, die für künftige Angriffe auf militärische, staatliche oder technische Systeme nützlich sind.
In den Vereinigten Staaten gibt es zahlreiche Präzedenzfälle:
• Im Jahr 2014 wurden fünf PLA-Hacker wegen Wirtschaftsspionage angeklagt.
• Im Jahr 2017 wurden drei Hacker, die mit dem chinesischen Unternehmen Boyusec in Verbindung stehen, wegen des Diebstahls vertraulicher Geschäftsinformationen angeklagt.
• Im Jahr 2018 wurden zwei chinesische Staatsangehörige wegen Diebstahls geistigen Eigentums angeklagt.
• Im Jahr 2020 wurden zwei Hacker, die mit dem MSS in Verbindung stehen, angeklagt, die COVID-19-Forschung ins Visier genommen zu haben.
Darunter sticht die Anklage aus dem Jahr 2018 als Teil einer breiteren US-Bemühung hervor, das Bewusstsein für chinesische Cyberspionage zu schärfen. Damals führten chinesische Hacker eine als “Cloud Hopper” bekannte Kampagne durch, die einen Angriff auf die Lieferkette von Dienstleistern wie Hewlett Packard und IBM beinhaltete. Die Beschuldigten arbeiteten für Huaying Haitai und arbeiteten mit dem Tianjin State Security Bureau des MSS zusammen.
Im Jahr 2017 schätzte die U.S. Commission on the The Theft of American Intellectual Property, dass derartige Verbrechen die US-Wirtschaft jährlich bis zu 600 Milliarden Dollar kosten – eine Zahl, die mit dem Verteidigungshaushalt des Pentagons vergleichbar und größer ist als die kombinierten Gewinne der 50 größten Unternehmen der Fortune 500.
Jenseits der Vereinigten Staaten: Die globalen Auswirkungen der chinesischen Cyberspionage
Im Juni 2024 warnte der niederländische Militärgeheimdienst (MIVD), dass die chinesische Cyberspionage weiter reicht als bisher angenommen und auch westliche Regierungen und Verteidigungsunternehmen betrifft. Ein Cyberangriff auf das niederländische Verteidigungsministerium im Jahr 2023 betraf Berichten zufolge innerhalb weniger Monate mindestens 20.000 Personen.
Im Jahr 2018 warnte die Nationale Agentur für Cyber- und Informationssicherheit (NUKIB) der Tschechischen Republik vor den Risiken, die von China ausgehen. Seitdem hat das Land seine Fähigkeiten und Kontrollen gegenüber Peking verstärkt und an Mechanismen zur Bekämpfung ausländischer Informationsmanipulationen gearbeitet.
Nach Angaben von US-Staatsanwälten sind Dutzende von europäischen Parlamentariern Ziel chinesischer Angriffe gewesen. Im März 2024 erhob das US-Justizministerium Anklage gegen Hacker, die mit dem MSS in Verbindung stehen, weil sie “alle EU-Mitglieder” der Interparlamentarischen Allianz gegen China (IPAC), einer Peking-kritischen Koalition, angegriffen hatten. Im Jahr 2021 schickten die Hacker über tausend E-Mails an rund 400 Konten, die mit IPAC in Verbindung standen, und versuchten, deren Internetaktivitäten und Geräte auszuspionieren.
Auch ASML, der niederländische Marktführer im Bereich der Halbleiterlithografie, hat “Tausende von Sicherheitsvorfällen pro Jahr” zu verzeichnen, darunter mehrere erfolgreiche Infiltrationsversuche durch chinesische Akteure. Auch Forschungszentren wie Imec (Belgien) sind häufig Zielscheibe. Belgien hat chinesische Forscher, die der Spionage verdächtigt werden, des Landes verwiesen. Die Europäische Union hat die Sicherheitsvorkehrungen verstärkt und fortschrittliche Halbleiter als eine von vier kritischen Technologien eingestuft, die Risikobewertungen und einen verstärkten Schutz erfordern.
APT41 ist eine der aktivsten und raffiniertesten chinesischen Cyberspionage-Gruppen mit Sitz in der VR China und Verbindungen zum MSS. Nach Angaben der Threat Intelligence Group von Google kombiniert APT41 staatliche Spionage mit Ransomware-Angriffen – bösartige Programme, die Dateien verschlüsseln und für deren Wiederherstellung ein finanzielles Lösegeld verlangen -, was die Zuordnung erschwert.
Im Gegensatz zu anderen mit der PLA verbündeten Gruppen, deren Operationen regionalspezifisch sind, agiert APT41 global und greift strategische Bereiche in den USA, Europa, Lateinamerika und der Karibik an. Sie führt auch finanziell motivierte Operationen durch, insbesondere in der Glücksspielbranche. Mandiant, ein weltweit führendes Unternehmen im Bereich Cybersicherheit, hebt die technischen Fähigkeiten von APT41 hervor: Sie nutzt häufig Zero-Day- und N-Day-Schwachstellen aus und setzt Techniken wie Phishing, Social Engineering und SQL-Injections ein.
Seit 2020 hat APT41 groß angelegte Kampagnen gegen über 75 Unternehmen in mehr als 20 Ländern durchgeführt. Sie ist für die Kompromittierung von Lieferketten verantwortlich, wie z. B. bei der “ShadowHammer”-Kampagne gegen ASUS, von der 2018 über 50.000 Systeme betroffen waren. APT41 wird auch mit der Verwendung von “MESSAGETAP”-Malware in Telekommunikationsnetzen in Verbindung gebracht.
Die Rolle der chinesischen Universitäten bei der Cyberspionage
Auch chinesische Universitäten arbeiten mit der PLA und dem MSS bei staatlich geförderten Cyberspionageoperationen zusammen. Die Shanghai Jiao Tong University arbeitet bei solchen Operationen direkt mit dem chinesischen Militär zusammen. Die Universität Zhejiang und das Harbin Institute of Technology sind wichtige Zentren für die Rekrutierung von Hackern.
Die Xidian-Universität bietet Studenten praktische Erfahrungen in den MSS-Büros der Provinzen und unterhielt früher Verbindungen zur Dritten Abteilung des Generalstabs der PLA, bevor sie 2015 in die Abteilung für Netzwerksysteme umgewandelt wurde. Eines ihrer Graduiertenprogramme wird gemeinsam mit dem Guangdong-Büro des chinesischen Zentrums für die Bewertung der Sicherheit von Informationstechnologie (ITSEC) geleitet, einem vom MSS betriebenen Büro, das ein aktives Team von Auftragshackern führt.
Die Southeast University unterhält auch Verbindungen zu Sicherheitsdiensten und verwaltet gemeinsam mit der Strategic Support Force der PLA das “Purple Mountain Lab”. Dort arbeiten Forscher gemeinsam an “kritischen strategischen Anforderungen”, Betriebssystemen und interdisziplinären Studien zur Cybersicherheit. Die Universität erhält auch Mittel von der PLA und der MSS, um Chinas Cyberfähigkeiten zu entwickeln.
Der Studiengang Cybersicherheit an der Shanghai Jiao Tong University (SJTU) wird in einer PLA-Informatikbasis unterrichtet. Im Rahmen dieses Programms arbeitet die SJTU nach eigenen Angaben an der Prüfung und Bewertung von Netzwerk- und Informationssystemen, an Sicherheitstests für vernetzte intelligente Netzwerke, an Tests für APT-Angriffe und -Abwehr sowie an Schlüsseltechnologien für Cyberbereiche.
Zu den Universitäten, die mit der MSS bei der Rekrutierung von Talenten zusammenarbeiten, gehören die University of Science and Technology of China, die Shanghai Jiao Tong University, die Xi’an Jiao Tong University, das Beijing Institute of Technology, die Nanjing University und das Harbin Institute of Technology. Darüber hinaus arbeiten einige Cybersicherheitsfirmen – wie Beijing TopSec – mit der PLA bei Hacking-Kampagnen, der Ausbildung von Operatoren und der Entwicklung künftiger Hacker zusammen.
Dieser Artikel wurde ursprünglich von Agenda Digitale und später von Expediente Abierto veröffentlicht, die uns die Erlaubnis zur Übersetzung und Wiederveröffentlichung gaben.
