Kritische Infrastruktur: Chinesische Hacker unterwanderten fünf Jahre lang US-Netze

Die Angreifer hätten wohl großen Schaden anrichten können: Laut NSA und FBI hat die chinesische Hackergruppe »Volt Typhoon« Zugriff auf wichtige Versorgungsnetze gehabt. US-Behörden befürchten weitere Attacken.

Kritische Infrastruktur: Chinesische Hacker unterwanderten fünf Jahre lang US-Netze

Nach dem Zerschlagen einer groß angelegten Hacker-Operation in den USA haben die Behörden Details über deren Umfang bekannt gegeben. Fünf Jahre lang hatten sich demnach vom chinesischen Staat unterstützte Hacker in kritischen Infrastrukturen der USA versteckt. In einem gemeinsamen Bericht machen unter anderem der US-Geheimdienst NSA und die Bundespolizei FBI eine chinesische Gruppierung namens »Volt Typhoon« für die systematische Kampagne zur Unterwanderung der Infrastrukturbetreiber verantwortlich.

DER SPIEGEL fasst die wichtigsten News des Tages für Sie zusammen: Was heute wirklich wichtig war – und was es bedeutet. Ihr tägliches Newsletter-Update um 18 Uhr. Jetzt kostenfrei abonnieren.

In dem 45-seitigen Bericht, an dem sechs US-Sicherheitsbehörden sowie ihre Pendants aus Kanada, Großbritannien und Australien beteiligt waren, wird das Ausmaß der Operation beschrieben. Die Täter hatten sich den Angaben zufolge sowohl in Netzwerken zur Kontrolle des Flug-, Schienen und Autoverkehrs festgesetzt, als auch bei Unternehmen, die Pipelines, Wasser- und Abwasserwerke betreiben. Die konkret betroffenen Firmen und Anlagen benennen die Ermittler allerdings nicht.

Heimlich Kontrolle übernommen

In den vergangenen Jahren gab es immer wieder eindringliche Warnungen über solche Angriffe. Im vergangenen Mai etwa hatte Microsoft bekannt gegeben, dass Mitglieder von »Volt Typhoon« in den Netzen der strategisch wichtigen Pazifikinsel Guam aktiv gewesen seien. Die Angreifer sollen gezielt Angestellte der betroffenen Organisationen ausgeforscht haben, um sich dann mit deren Accounts Zugang zu den Netzwerken zu verschaffen und sich dort festzusetzen.

Grundsätzlich legten die Hacker offenbar großen Wert darauf, sich unauffällig zu verhalten: Statt eigene Schadprogramme zu installieren, nutzten sie die Werkzeuge, die bereits auf den angegriffenen Rechnern installiert waren, was die Entdeckung deutlich schwerer machte. Mit der »living off the land« genannten Methode erlangten die Angreifer mit der Zeit wichtige Accounts und Passwörter, sie konnten auch direkt auf Überwachungskameras zugreifen. Direkten Schaden richteten sie jedoch nicht an.

Vorbereitung für spätere Sabotage?

Das werten die US-Ermittler als schlechte Zeichen. »Wir sind außerordentlich besorgt über die bösartigen Cyber-Aktivitäten des staatlich geförderten Akteurs aus der Volksrepublik China«, sagte Eric Goldstein, ein hoher Beamter der Cybersicherheitsagentur CISA der Nachrichtenagentur Reuters. »Die meisten der von uns identifizierten Opfer haben keinen legitimen Spionagewert.« Die US-Behörden schließen daraus, dass groß angelegte Sabotageakte geplant waren.

Dem nun publizierten Bericht zufolge waren die Angreifer dazu durchaus in der Lage, bis US-Ermittler ihnen vor einer Woche wesentliche Zugänge kappten und ein Botnetz, das für die Angriffe benutzt wurde, deaktivierten. Zwar seien sie nur in den IT-Umgebungen der betroffenen Einrichtungen aktiv gewesen, eine Bewegung in die OT (Operational Technology), wozu die industriellen Kontrollsysteme gehören, wäre aber wohl möglich gewesen.

Die große Bedrohung soll auch zu mehreren Treffen im Weißen Haus geführt haben, bei denen die Regierung Firmen zur Zusammenarbeit aufgefordert habe, um das Ausmaß der Angriffe zu ermitteln und Einfallstore für neue Versuche zu schließen. China hat in der Vergangenheit immer wieder dementiert, hinter solchen Operationen zu stehen.