Original-URL des Artikels: https://www.golem.de/0903/66205.html    Veröffentlicht: 30.03.2009 12:36    Kurz-URL: https://glm.io/66205

Kanadische Forscher entlarven chinesisches Cyberspionagenetz

E-Mails des Dalai Lama ausspioniert

Kanadische Computersicherheitsexperten sind einer Gruppe chinesischer Cyberspione auf die Spur gekommen, die unter anderem die tibetische Exilregierung abgehört haben. Ihr Spionagenetz umfasste 1.300 Computer in über 100 Ländern, teils in Botschaften, Außenministerien und anderen wichtigen Organisationen.

GhostNet, Geisternetz, haben es die Sicherheitsexperten der kanadischen Secdev Group getauft. Das Ziel war, den Dalai Lama und seine tibetische Exilregierung abzuhören. Doch das Netz, das eine Gruppe chinesischer Cyberspione ausgelegt hat, ist sehr weit gespannt: Rund 1.300 Computer, so fanden die Wissenschaftler in zehnmonatiger Recherchearbeit heraus, waren mit der Spionagesoftware der Chinesen infiziert. Und jede Woche komme ein Dutzend hinzu.

Die Computer stehen in 103 Ländern der Erde, beinahe ein Drittel davon in hochrangigen und zum Teil sicherheitsrelevanten Institutionen: Neben dem Büro des Dalai Lama und der tibetischen Exilregierung, deren Mailserver sie kontrollierten, belauschten die Chinesen weitere Organisationen, die sich mit Tibet befassen, westliche Medienunternehmen, den Verband Südostasiatischer Nationen (Association of Southeast Asian Nations, ASEAN), die Asiatische Entwicklungsbank (Asian Development Bank, ADB) sowie die Botschaften und Außenministerien diverser Länder.

So fanden die Forscher die Malware, einen Trojaner namens gh0st RAT, auf Computern in den Botschaften Deutschlands, Indiens, Pakistans, Südkoreas, Taiwans oder Thailands sowie in den Außenministerien des Iran, von Bangladesh, der Philippinen, Indonesiens, Lettlands oder des Sultanats Brunei. Selbst ein Computer, allerdings kein sicherheitsrelevanter, im Nato-Hauptquartier war infiziert.

Als Ausgangspunkt des Angriffs, der neben dem Dalai Lama auch Regierungen in Süd- und Südostasien galt, machten die Forscher China aus. "Die gh0st-RAT-Instanzen werden durchweg von kommerziellen Internetzugängen auf der Insel Hainan in der Volksrepublik China aus kontrolliert", schreiben die Forscher in dem 53-seitigen Bericht "Tracking GhostNet: Investigating a Cyber Espionage Network". Die Malware sei sehr leistungsfähig: So konnten die Cyberspione nicht nur die infizierten Computer durchsuchen und Dateien entwenden, sondern auch eingebaute Kameras und Mikrofone zum Lauschen einsetzen.

Wer hinter dem Geisternetz steckt, konnten die Wissenschaftler indes nicht klären. Es könnte die Regierung sein, ein Unternehmen oder auch Einzelpersonen. Die chinesische Regierung wies die Vorwürfe, GhostNet sei in China beheimatet, zurück. Das seien alte Geschichten und dazu "Unsinn", zitiert die New York Times eine Sprecherin des chinesischen Konsulats in New York. "Die chinesische Regierung ist gegen Cybercrime und verbietet jede Form davon."

Es gibt allerdings Hinweise, die eine Beteiligung chinesischer Behörden nahelegen. So soll etwa ein ausländischer Diplomat, der eine Einladung zu einer Veranstaltung der tibetischen Exilregierung erhielt, einen Anruf der Behörden bekommen haben. Dabei sei versucht worden, ihm die Annahme der Einladung auszureden. Eine Frau, die für eine Gruppe arbeitet, die Internetkontakte zwischen Chinesen und Tibetern im Ausland vermittelt, wurde auf der Reise nach Tibet von Geheimdienstmitarbeitern angehalten. Diese hatten Ausdrucke der Onlinekommunikation der Frau und forderten sie auf, ihre Aktivitäten einzustellen.

Allerdings komme es darauf nicht an, wer hinter GhostNet stehe, schreiben die Forscher im Blog Information Warfare Monitor (IWMP). "Unabhängig davon, wer GhostNet kontrolliert, ist hier vielmehr das Potenzial der Ausbeutung und die strategischen Informationen, die gewonnen werden können, von Bedeutung.". Dieses Netz habe zwar Schwachstellen, durch die es gelungen sei, seine Verzweigungen aufzudecken. Allerdings gehen die Kanadier davon aus, dass GhostNet "weder das erste noch das einzige dieser Art" ist.

China wurde in der Vergangenheit bereits mehrfach der Cyberspionage beschuldigt. 2007 warf das US-Verteidigungsministerium dem chinesischen Militär vor, in das Computernetzwerk des Pentagon eingedrungen zu sein. Auch in Rechnern des deutschen Kanzleramtes waren seinerzeit Spionageprogramme gefunden worden. Ministerpräsident Wen Jiabao erklärte, seine Regierung nehme die Hackerangriffe auf das deutsche Regierungsnetzwerk sehr ernst, und kündigte an, dagegen vorgehen zu wollen.  (wp)


Verwandte Artikel:
Spionage: China baut Abhörfunktion in den Sitz der Afrikanischen Union   
(30.01.2018, https://glm.io/132458 )
Computerattacken gegen US-Abgeordneten   
(12.06.2008, https://glm.io/60350 )
Deutsche Wirtschaft: Massiv ausgeweitete Cyberangriffe aus China   
(26.12.2017, https://glm.io/131852 )
Ultraschall: Mutmaßlicher Lauschangriff verursacht Gesundheitsprobleme   
(05.03.2018, https://glm.io/133138 )
Spionage: Angriff auf Bundesregierung dauert noch an   
(01.03.2018, https://glm.io/133075 )

Links zum Artikel:
Information Warfare Monitor - Tracking GhostNet: Investigating a Cyber Espionage: http://www.infowar-monitor.net/modules.php?op=modload&name=News&file=article&sid=2176
SecDev - Tracking GhostNet: Investigating a Cyber Espionage Network: http://www.tracking-ghost.net/
The SecDev Group (.ca): http://www.secdev.ca/

© 1997–2019 Golem.de, https://www.golem.de/