Geheimdienst will Google-Angreifer in China gefunden haben

IT-Experte war Helfer wider Willen

Ein chinesischer IT-Experte soll den Code verfasst haben, der bei dem Angriff auf Google China und andere Firmen verwandt wurde. Das haben US-Ermittler an die Presse durchsickern lassen. Teile des Codes soll er zuvor in einem Crackerforum gepostet haben.

US-Sicherheitsexperten wollen den chinesischen Programmierer identifiziert haben, der für die Angriffe auf Google und andere westliche Unternehmen mitverantwortlich sein soll. Das berichtet die britische Financial Times unter Berufung auf einen IT-Sicherheitsexperten, der für die US-Regierung arbeitet.

Ein etwa 30-jähriger chinesischer IT-Sicherheitsberater soll den Code geschrieben und Teile davon in einem Crackerforum veröffentlicht haben. Die chinesische Regierung verfüge über Zugangsmöglichkeiten zu seinen Arbeiten, berichtet die Zeitung offenbar aus Geheimdienstkreisen. Der Experte arbeite nicht ständig für seine Regierung und beteilige sich nur widerwillig an Angriffen auf IT-Systeme. Er sei persönlich auch nicht an den Aktionen gegen Google beteiligt gewesen. "Er würde lieber ohne Militärs im Rücken arbeiten, doch jemand mit seinen Fähigkeiten hat keine Chance, da herauszukommen", sagte der US-Sicherheitsexperte zu der Financial Times.

Mitte Dezember 2009 hatte Google aufwendige und sehr zielgerichtete Angriffe auf seine Infrastruktur festgestellt, deren Ursprung in China gelegen haben sollen. Ziel der Angriffe war es, Zugriff auf die Google-Mail-Konten chinesischer Menschenrechtsaktivisten zu erhalten und offenbar auch Code von Googles Suchtechnologie zu stehlen.

Die Angreifer nutzten ein offenes Sicherheitsloch im Internet Explorer, das mittels Javascript zum Ausführen von Schadcode missbraucht werden konnte. Nach Erkenntnissen der Sicherheitsspezialisten von McAfee war nicht nur Google Opfer dieser Sicherheitslücke. Auch eine Reihe weiterer IT-Unternehmen, darunter Yahoo, Symantec, Adobe, Northrop Grumman sowie Dow Chemical, sollen betroffen gewesen sein. McAfee fasste die Angriffe unter den Namen Aurora zusammen, denn dieser Begriff taucht als Verzeichnisname bei allen Attacken auf. Hochrangige Mitarbeiter in den Unternehmen seien gezielt ausgewählt worden, um ihnen aus vermeintlich vertraulichen Quellen Links zuzuschicken. Mit dem Öffnen der Links im Internet Explorer wurde Schadcode auf die betreffenden Systeme geladen, Backdoors wurden geöffnet. Im zweiten Schritt wurde dann weiterer Code aus dem Internet nachgeladen, um die Systeme unter Kontrolle zu bringen.

Google hatte nach den Angriffen angekündigt, eine Schließung seines Geschäftsbetriebs in China zu prüfen und die Zensurauflagen des Landes in seiner Internetsuche nicht länger befolgen zu wollen. Die Drohungen hat Google bis heute aber nicht wahr gemacht. Um die Angriffe aufzuklären, wollte der Internetkonzern nach einem Bericht der Washington Post mit dem US-Geheimdienst NSA (National Security Agency) zusammenarbeiten. Die NSA habe dafür auch Hilfe des FBI und des Heimatschutzministeriums angefordert.

Die Geheimdienste gaben Informationen an die New York Times, nach denen die Angriffe von der chinesischen Eliteuniversität Schanghai Jiaotong und der Berufsschule Lanxiang aus ausgeführt worden sind. Die staatliche chinesische Nachrichtenagentur Xinhua brachte einen Bericht, in dem die Berufsschule dies dementierte.