Erstellt am: 14. 9. 2015 - 19:00 Uhr

Weitere Eskalation im "Cyber"-Konflikt USA-China

Nach dem Hack der fünften US-Krankenversicherung für öffentlich Bedienstete seit Jahresbeginn kamen am Freitag offene Drohungen von Barack Obama an die Adresse Chinas.

Vor dem Staatsbesuch des chinesischen Präsidenten Xi Jinping in Washington sind die "Cyber"-Scharmützel zwischen den beiden Staaten weiter eskaliert. Am Mittwoch hatte die Krankenversicherung Excellus die Kompromittierung von 10 Millionen Kundendaten bekanntgegeben. Seit Februar wurde damit bereits das fünfte Unternehmen aus dem US-Gesundheitssektor gehackt und wieder richtet sich der Verdacht gegen staatliche Akteure aus China.

US-Präsident Obama reagierte am Freitag mit einer scharfen Warnung an Beijing. Wenn China eine Auseinandersetzung im Cyberspace suche, dann garantiere er, dass die USA diese gewinnen würden, falls es keine Einigung mit China darüber gebe, bestimmte "inakzeptable Praktiken einzustellen". Gemeint ist damit vor allem die Zusammenarbeit von "Cyber"-Einheiten der chinesischen Volksarmee mit kriminellen Gangs, denn auf einen solchen virtuellen Partisanenkrieg sind die USA kaum vorbereitet.

Defensivschwäche der US-Militärs

Ende August hatte US-Verteidigungsminister Ashton Carter anlässlich eines Einbruchs in das System des Generalstabs die Defensivschwäche der US-Streitkräfte angeprangert und davor gewarnt, ins Hintertreffen zu geraten. Diese Schwäche in der Verteidigung ist nicht zuletzt auf die offensive Ausrichtung der gesamten "Cyber"-Strategie der USA zurückzuführen. Der hohe Vernetzungsgrad des gesamten US-Militärs und die Einbindung privater Vertragsfirmen spielen ebenfalls Angreifern in die Hände.

Mandiant

Mit diesem Angriff auf Excellus sind nunmehr so gut wie alle der mehr als hundert Millionen Kundendatensätze der Versicherungsallianz "Blue Cross Blue Shield" in anderen Händen, wobei das Gros der Versicherten Angestellte des öffentlichen Dienstes sind. Die Kompromittierung des Systems war Anfang August entdeckt worden, als Excellus seine Systeme durch die einschlägig spezialisierte Sicherheitsfirma Mandiant überprüfen ließ. Das Ergebnis war, dass Angreifer bereits Ende 2013 eingedrungen und seitdem mit Administratorenrechten im Netz von Excellus unterwegs waren.

Start der Eskalation 2013

Die Firma Mandiant, die mittlerweile vom Sicherheitsunternehmen FireEye übernommen wurde, gilt in der Branche als ausgeprochen geheimdienstnahe, viele der Angestellten kommen aus dem militärischen Überwachungskomplex. Eine im Frühjahr 2013 veröffentlichte Studie von Mandiant hatte denn auch den Schlagabtausch im Cyberspace zwischen China und den USA ausgelöst. Obwohl es bereits davor immer mehr Hinweise auf eine Verwicklung Chinas in eine ganze Reihe von solchen Angriffen gab, stand das Land damit erstmals weltweit am Pranger.

Mandiant

Die Studie für den US Kongress beschreibt die Aktivitäten einer Spionageeinheit der chinesischen Volksarmee, die bereits davor als "Comment Crew" aufgefallen aber nicht zugeordnet war. Bei Mandiant wird sie "APT1" genannt, das Kürzel steht für "Advanced Persistent Threat", also für eine dauerhafte Bedrohung der fortgeschrittenen Art. Laut Mandiant konnte die Einheit als "zweites Büro der dritten Generalstabsabteilung in der Volksbefreiungsarmee PLA" bzw. "UNIT 61398" identifiziert werden. Diese Einheit wurde von Mandiant seit 2006 nach allen Regeln der Kunst ausspioniert. Auf ihr Konto sollen Einbrüche in mindestens 140 US-Firmennetze gehen, in denen sich die Angreifer im Durchschnitt mehr als ein Jahr frei bewegen und enorme Datenmengen abziehen konnten.

Unterschiedliche Taktiken

Solch fortgeschrittene Netzattacken sind immer das Werk von professionellen, nämlich staatlich gelenkten Angreifern, in diese Kategorie fallen so bekannte Schadsoftwares wie Duqu, Regin oder Stuxnet, die allgemein den USA, Israel und Großbritannien zugeordnet werden. Angreifer aus Russland oder China nützen hingegen in der Regel bekannte Schadsoftwares von Botnet-Betreibern und anderen Kriminellen. Diese Angriffstools werden allerdings für den jeweiligen Einsatz so umgeschrieben, dass sie von Antiviren-Software nicht erkannt werden, dazu werden sie mit neuen Features versehen.

Mandiant

In diesem Gebäude in Shanghai war die Residenz des Units 61398 unterbracht. Nach dem Bekanntwerden der Aktivitäten wurde das Gebäude angeblich geräumt

Reaktion und Gegenreaktion

Auf den Report von Mandiant, der drei der federführenden Akteure des "UNIT 61398" der Volksarmee auch noch mit ihren Klarnamen nannte, reagierte China mit verärgerten Dementis und beklagte sich, selbst dauernd angegriffen zu werden. Danach brach eine Serie von DDoS-Attacken über Firmen aus dem US-Finanzsektor herein, die nächste Drohung aus den USA folgte prompt. Aus heiterem Himmel veröffentlichte die NSA 23 Jahrgänge ihrer Zeitschrift "Cryptolog" (1976-1997).

Black, NSA

Während von vielen Jahrgängen nicht viel mehr als Überschriften lesbar sind, wurden die letzten vier Ausgaben fast zur Gänze freigegeben, obwohl einige Artikel mit einer so hohen Geheimhaltungsstufe wie "Top Secret Umbra" klassifiziert waren. Das ebenfalls freigegebene Editorial der Ausgabe vom Frühjahr 1997 aber beginnt mit diesem Satz: "Am 3. März 1997 hat der Verteidigungsminister die NSA offiziell damit beauftragt, Attacken auf Computernetze zu entwickeln." In der "vernetzten Welt des Cyberspace" heißt es dann weiter, sei "Angriffstechnologie auf Computernetze der natürliche Verbündete der NSA".

Russland schaltet sich ein

China zeigte sich dadurch ebensowenig wenig beeindruckt wie durch die Anklageerhebung gegen fünf Angehörige der Volksarmee 2014, sondern begann postwendend, den Gesundheitssektor in den USA anzugreifen. Etwa um diese Zeit schaltete sich auch Russland ein, parallel zum Konflikt in der Ukraine begannen auch die "Cyber"-Scharmützel mit Russland zu eskalieren. Vor einem Jahr erreichten sie einen vorläufigen Höhepunkt, als der NATO-Gipfel von der "Sandworm"-Gruppe angegriffen wurde.

Mandiant

Zum Einsatz kam dabei eine von russischen Kriminellen bekannte, aber stark optimierte Angriffssuite namens "BlackEnergy". Die USA machten Russland für den Angriff verantwortlich und legten parallel dazu ihre aktuelle "Cyber"-Doktrin offen. Als Reaktion erfolgte eine Angriffswelle auf Steuerungssysteme der Industrie in den USA, wobei ebenfalls eine Version von "BlackEnergy" zum Einsatz kam.

Vorläufiges Fazit

Wie diese Balkengrafik zeigt, gehörten Krankenversicherer bis 2013 nicht zu den priorisierten Zielen von Unit 61398, sie rangierten vielmehr ganz am Schluss. Alleine die fünf Angriffe dieses Jahres haben einen enormen Schaden in den USA angerichtet, alleine die Kosten für den Kreditschutz der Betroffenen und Monitoring gegen Angriffe von Kriminellen gehen gegen zwei Milliarden Dollar.

Was Mandiant betrifft, so hat sich der Wert des Unternehmens nach der Veröffentlichung der Studie jedenfalls vervielfacht. Bis 2013 war das Unternehmen mit rund 100 Mio an Venturekapital ausgestattet, der Verkauf 2014 an FireEye brachte eine Milliarde Dollar ein.

In einer doch eher umfangreichen Recherche zu dieser Analyse konnte keine einzige Meldung chinesischer Medien in englischer Sprache gefunden werden, die an Details und direkten Zuweisungen jenen aus den USA irgendwie vergleichbar wäre. In dieser Story werden deshalb ausschließlich Angriffe auf die US-Seite geschildert, weil es über die Angriffsaktionen der USA gegen China schlicht keine Nachrichten gibt. Es kann jedoch als völlig sicher angenommen werden, dass solche Angriffe stattgefunden haben, denn so sehr sich "Cyber"-War von konventioneller Kriegsführung unterscheidet, in diesem Fall sind beide deckungsgleich. Sie folgen nämlich demselben militärischen Prinzip von Schlag und Gegenschlag, von Angriff und Vergeltung.