Auseinandersetzungen zwischen Staaten werden immer häufiger von hochprofessionellen Cyberangriffen begleitet – protegiert und unterstützt von den jeweiligen Geheimdiensten.
Neben Netzwerken und Daten staatlicher Einrichtungen und kritischer Infrastrukturen (KRITIS) geraten dabei immer häufiger auch die IT-Infrastrukturen von Privatunternehmen, ihre Geschäfts-, Kunden- und Mitarbeiterdaten, ihre Produkt- und Produktionsdetails in den Angriffsfokus. Vor allem chinesische Staatshacker haben ihre Aktivitäten auf diesem Gebiet in den vergangenen Jahren deutlich erhöht. Ausgehend von der derzeitigen Entwicklung dürfte Industrie-Spionage sich in den kommenden Jahren zu einem Markenkern chinesischer Cyberkriegsführung entwickeln.
Seit mehreren Jahren schon bestimmt der brodelnde Konflikt zwischen Russland und der Ukraine die internationalen Schlagzeilen. Ein zentrales Thema: die Möglichkeit des Ausbruchs eines ‚Cyberkrieges‘, eines größeren Angriffs russischer Staatshacker auf die IT-Systeme der Ukraine – und diejenigen ihrer europäischen Verbündeten.
Nicht ohne Grund wird von der Ukraine häufig als dem derzeitigen ‚Testfeld‘ künftiger russischer Cyberkriegsführung gesprochen. Nur zu gut sind allen noch die russischen Staatshackerangriffe auf kritische Infrastrukturen und staatliche Stellen der Ukraine von 2015, 2016 und 2017 in Erinnerung. Schlagartig hatten die damaligen Attacken der Öffentlichkeit – in- wie außerhalb der Ukraine – die Verletzlichkeit digitaler Infrastrukturen im Falle eines breit angelegten, professionell geführten Cyberangriffs vor Augen geführt. Entsprechend groß sind derzeit die Befürchtungen zahlreicher westlicher Staaten, als Verbündete der Ukraine ebenfalls zu Opfern eines solchen Angriffs, zu Kombattanten in einem groß angelegten Cyberkrieg, zu werden. Den Vorgeschmack einer ersten russischen Angriffswelle bekamen die europäischen Staaten bereits Mitte des vergangenen Jahres zu spüren, als eine größere Zahl ihrer Banken und Politiker in den Fokus russischer Staatshacker geriet.
So sehr die Rolle Russlands die derzeitigen Debatten über einen größeren, flächendeckenden Cyberkrieg aber auch bestimmen mag, führen tut diesen längst – auch und gerade in wirtschaftlicher Hinsicht – eine andere Macht: die Volksrepublik China.
Chinesische Staatshacker auf dem Vormarsch
China stehen für Angriffe deutlich mehr Ressourcen – vor allem mehr Manpower – zur Verfügung. Schätzungen gingen bereits 2017 von 50.000 bis 100.000 chinesischen Staatshackern aus – aufgeteilt in zahlreiche Ober- und Untergruppen, die der Volksbefreiungsarmee, dem Ministerium für Staatssicherheit und dem Ministerium für öffentliche Sicherheit unterstellt sind. Russische Geheimdienste können da nicht mithalten.
Die Ziele der chinesischen Cyberkriegsführung sind vielfältig. Dennoch: dass die ökonomischen Interessen der Volksrepublik – zumindest derzeit – einen Schwerpunkt bilden ist klar erkennbar. Der Cyberkrieg ‚made in China‘ dient vor allem der langfristigen Stabilisierung und Stärkung der chinesischen Wirtschaft. Sein ‚Kriegsplan‘ orientiert sich an den 5-Jahresplänen der kommunistischen Partei. Seine präferiert zum Einsatz gebrachte ‚Waffe‘ ist die Industriespionage. Nicht ohne Grund hat FBI-Direktor Christopher Wray erst unlängst erklärt, dass „kein Land […] für unsere Ideen, unsere Erfindungen und unsere wirtschaftliche Sicherheit“ derzeit eine größere Bedrohung darstellt als die Volksrepublik China.
Tatsächlich haben chinesische Staatshacker ihre Angriffe auf US-amerikanische und europäische Privatunternehmen in den vergangenen Jahren massiv ausgeweitet. Ein Ende dieser besorgniserregenden Entwicklung ist derzeit nicht in Sicht. Das 2015 zwischen den Präsidenten Obama und Xi Jinping geschlossene Abkommen zur Eindämmung des chinesischen Cyberkriegs – das im Wesentlichen dem Schutz geistigen Eigentums dienen sollte – ist von chinesischer Seite spätestens 2017 – im Zuge der Radikalisierung der US-amerikanischen Chinapolitik – ad acta gelegt worden. Experten gehen für die kommenden Jahre von einer Zunahme der Angriffsgruppen und einer Professionalisierung der Angriffsteams aus. Die seit Jahren laufende Antikorruptionskampagne der chinesischen kommunistischen Partei gräbt nicht-staatlichen chinesischen Hackern zunehmend das Wasser ab. Es ist davon auszugehen, dass sich mit abnehmender Auftragslage auf dem ‚freien chinesischen Markt‘ weitere Cyberkriminelle den Staatshacker-Gruppen anschließen werden.
APT41/Doppelter Drache
Organisiert sind die chinesischen Angreifer in zahlreichen Ober- und Untergruppen. Eine Obergruppe, über die mittlerweile Einiges in Erfahrung gebracht werden konnte, wird von Cybersicherheitsexperten als APT41 bezeichnet, ist international auch unter dem Namen ‚Doppelter Drache‘ bekannt. Die Gruppe ist seit mindestens 2009 aktiv und pflegt Kontakte zum chinesischen Ministerium für Staatssicherheit. Ihre Mitglieder betätigen sich sowohl als Cyberspione als auch als Cyberkriminelle. Die Spionage-Aktivitäten umfassen dabei das Stehlen von Quellcode, von Codesignatur-Zertifikaten, von intellektuellem Eigentum und Kundendaten, von internen technischen Dokumentationen und allgemeinen Geschäftsinformationen. Ihre cyberkriminellen Aktivitäten beinhalten – unter anderem – Ransomware-Angriffe, Cryptojacking und Kryptowährung-Spoofing.
Hauptangriffsvektor Maschinenidentitäten
Ihr derzeitiger Hauptangriffsvektor ist der Missbrauch von Maschinenidentitäten, mit denen festgestellt wird, ob einer Software vertraut werden kann oder nicht. Diese Angriffe, bei denen der Code-Signierungsprozess missbraucht wird, haben seit ihrer Verwendung in den Stuxnet-Angriffen vor mehr als zehn Jahren massiv an Popularität gewonnen. Wie solch ein Angriff konkret abläuft, hat kürzlich das Cybersicherheitsunternehmen Venafi im Whitepaper APT41 Perfects Code Signing Abuse to Escalate Supply Chain Attacks beleuchtet.
Viele Softwareentwickler sichern ihre Netzwerke immer noch unzureichend ab. Diesen Umstand hat APT41 schon vor Jahren erkannt und sich zunutze gemacht. Die Gruppe dringt in das Netzwerk eines Softwareanbieters ein und eignet sich dessen Codesignatur-Zertifikat an. Codesignatur-Zertifikate sind Maschinenidentitäten. Sie ermöglichen es Entwicklern, den Nutzern ihrer Software die Authentizität – die Vertrauenswürdigkeit – ihres Softwarecodes zu belegen. Hat APT41 ein Zertifikat unter seine Kontrolle gebracht, kann die Gruppe Malware kreieren und mit dem gestohlenen Zertifikat tarnen, so dass diese von den Sicherheitslösungen eines Opfers als gute und vertrauenswürdige Software und nicht als Malware erkannt und behandelt wird. Sie muss dann nur noch an potenzielle Nutzer ausgeliefert und von diesen angenommen werden.
Auch hierfür hat APT41 eine effektive Lösung gefunden: die Kompromittierung der Entwicklungs-Pipelines der Softwareanbieter. Viele kommerzielle Software-Unternehmen haben auch ihre internen Arbeitsprozesse nur schlecht abgesichert. So kann APT41, wenn es das Netzwerk eines Anbieters bereits infiltriert hat, auch den Prozess der Softwareentwicklung selbst kompromittieren und den Anbieter zu einem unfreiwilligen Multiplikator seiner Angriffsmöglichkeiten machen. Eigener bösartiger Code wird hierzu – von den Softwareentwicklern des Angriffsopfers unbemerkt – in die Entwicklungspipelines eingeschleust und mit dem korrekten Zertifikat signiert. Der Anbieter liefert die Software dann – samt bösartigem Code – an seine Kunden aus. Über die Kompromittierung eines einzigen kommerziellen Softwareunternehmens kann APT41 so – auf einen Schlag – all dessen Kundensysteme mit Backdoors belegen, infiltrieren und kompromittieren.
Seit 2017 hat APT41 solch eine, auch als Supply Chain-Angriff bezeichnete, Attacke bereits unzählige Male erfolgreich gegen Unternehmen aus der Software-, Hardware-, Medien-, Gesundheits-, Hightech-, und Telekommunikationsbranche zum Einsatz bringen können. Selbst bei hochwertigen, gut geschützten Angriffszielen dauerte es nicht selten Monate – mitunter Jahre – bis das entsprechende Einfallstor aufgespürt und beseitigt werden konnte. Ein idealer Angriffsvektor also, um effektiv und effizient Industriespionage zu betreiben. Und eine wirksame Möglichkeit, das Vertrauen der attackierten Unternehmen in die Sicherheit ihrer Netzwerke und Sicherheitslösungen nachhaltig zu schädigen.
Lange wird die Gruppe den Angriffsvektor Signaturmissbrauch sicherlich nicht mehr nutzen können. Längst stehen Anbietern Softwarelösungen zur Verfügung, mit denen das Signaturverfahren von Softwarecode effektiv vor genau solchen Attacken abgesichert werden kann. Sicherlich werden APT41 und das stetig wachsende Heer chinesischer Staatshacker mittlerweile aber längst neue, bislang unerkannte Ansatzpunkte für massentaugliche Angriffe gefunden haben. Der Cyberkrieg ‚made in China‘, er hat eben erst begonnen.