Steckt chinesisches Militär hinter Cyber-Attacken auf G20-Gipfel?

Hacker-Alarm im Vorfeld des G20-Gipfels im russischen St. Petersburg. Eine Gruppe von Hackern startete organisierte Cyberspionageangriffe auf teilnehmende Staats- und Regierungschefs, Finanzminister und Zentralbankenchefs.

Als Hauptverdächtiger gilt das chinesische Militär. Nach Analyse der G20-Angriffe kamen Forscher des Sicherheitsunternehmens Rapid7 zu dem Schluss, dass das Schema mit jenem übereinstimmt, das von Hackern des chinesischen Militärs in der Vergangenheit verwendet worden ist.

Claudio Guarnieri, Sicherheitsforscher bei Rapid7, analysierte die Angriffe der Hacker und ordnet sie dem chinesischen „Calc Team“ zu.

Das chinesische „Calc Team“ schlägt seit zwei Wochen wieder zu

Die als „Calc Team“ bekannten Hacker waren in den vergangenen Monaten auf Druck von internationalen Medien und Regierungen hin nicht tätig gewesen. Vor zwei Wochen griffen sie jedoch in einer neuen Welle von Cyberangriffen US-amerikanische Unternehmen und die US-Regierung, an. Die bereits von früher bekannten Programme des „Calc Teams“ kamen bei den jüngsten Angriffen erneut zur Verwendung – allerdings in aktualisierter Fassung.

Hacker schickten infizierte Kopien von offiziellen G20-Dokumenten

Die Hacker sendeten den Teilnehmern des G20-Gipfels infizierte PDF-Kopien von offiziellen Dokumenten. Die Dokumente bestanden aus öffentlich zugänglichen Dateien. Wenn die PDF-Dokumente geöffnet werden, infizieren sie den Rechner automatisch mit Malware, Keyloggern und anderen Schadprogrammen. Keylogger lassen den Hacker Eingaben mitverfolgen und überwachen, inklusive Passwörtern und anderen sensiblen Informationen.

Die Formen der verwendeten Angriffe werden „Social Engineering“ und „Spear Phishing“ genannt. Beim Social Engineering geben Hacker sich als vertrauenswürdige Personen aus, um Zugriff auf den Rechner zu bekommen. Spear Phishing bezieht sich auf einen gezielten Angriff auf eine bestimmte Person.

Hacker „gekommen, um zu bleiben“

„Wenn man den Zusammenhang und Inhalt der Dokumente berücksichtigt, können wir davon ausgehen, dass die Ziele der Angreifer Mitglieder europäischer Institutionen sind, die in der Gestaltung politischer Richtlinien involviert sind“, steht in einem Blog der IT-Sicherheitsexperten von Rapid7.

Rapid7 geht auch davon aus, dass die Hacker versuchen werden, den Zugriff auf die Daten langfristig und nachhaltig erhalten wollen. Nachdem die meisten Hacker einen Weg in das System einer Zielperson gefunden haben, „werden sie definitiv versuchen alle Informationen, die von Interesse sein könnten, zu identifizieren und zu exfiltrieren.“

Das Exfiltrieren bezeichnet das illegale Kopieren von Informationen auf einen Bereich außerhalb der ursprünglichen Lokalisation.