31.03.2009 · Chinesische Hacker sollen mit Hilfe von in E-Mails versteckten „Trojanern“ ein weltweites Spionagenetz geknüpft haben. Das „Ghostnet“ infizierte Computer des Dalai Lamas, etlicher Regierungen und wohl auch einen Rechner im Nato-Hauptquartier. Peking bestreitet jede Beteiligung.
Von Holger Schmidt
© picture-alliance/ dpa
Bedrohen chinesisische Hacker auch die Kommunikationsstruktur im Westen?
Die Mitarbeiter des Dalai Lamas haben gehandelt wie normale Internetnutzer. Sie haben ihre E-Mails unverschlüsselt verschickt und Passwörter eingesetzt, die im Wörterbuch stehen. Und sie haben unverdächtig aussehende E-Mails von Bekannten oder Kollegen gelesen. So konnten Hacker die Organisation des Dalai Lamas zwei Jahre lang ausspionieren und insbesondere ihren E-Mail-Verkehr überwachen.
Die Hacker, die offenbar aus China kommen, hatten ihr Spionagenetz zuletzt über 103 Länder geknüpft und dabei 1295 Rechner infiziert, die ans Internet angeschlossen waren. Zum „Ghostnet“, wie westliche Informatiker das Netz nach eingehender Untersuchung tauften, gehörten neben den Computern der Organisation des Dalai Lamas die Rechner etlicher asiatischer Regierungen und derer Botschaften in aller Welt.
„Computer-Infrastruktur des Dalai Lamas beschädigt“
Infiziert waren zum Beispiel Computer der indischen Botschaften in Deutschland, Belgien, Serbien, Italien, Kuweit, den Vereinigten Staaten oder China. In Deutschland waren auch die Botschaften Indiens, Portugals und Zyperns auf der Liste. Auch die Asiatische Entwicklungsbank, die Nachrichtenagentur Associated Press in Großbritannien, die Organisation der Studenten für ein freies Tibet und sogar ein Rechner im Nato-Hauptquartier gehörten zu den Zielen der Hacker, wie das kanadische „Munk Center for International Studies“ und das Computerlabor der Universität Cambridge herausgefunden haben.
© picture-alliance/ dpa
Der E-Mail-Verkehr der Organisation des Dalai Lama wurde jahrelang überwacht
Die britischen Forscher nennen die chinesische Regierung als Initiator des Spionagenetzwerkes. „Wir haben in unserem Bericht beschrieben, wie Agenten der chinesischen Regierung die Computer-Infrastruktur des Dalai Lamas beschädigt haben“, schreiben die Forscher Shishir Nagaraja und Ross Anderson aus Cambridge in ihrem Bericht „Der schnüffelnde Drache: Überwachung der tibetischen Bewegung mit Hilfe soziale Schadprogramme“, der ebenso wie der Bericht der kanadischen Ermittler im Internet frei verfügbar ist.
Die Internetspione hätten „sensible Daten heruntergeladen“. Menschen in Tibet könnten deswegen gestorben sein, fügen die Autoren der Studie hinzu, ohne dafür freilich nähere Erklärungen beizufügen. Der Fall zeige, wie schwierig es sei, „sensible Informationen gegen Angreifer zu verteidigen“.
Monatelang die Spuren verfolgt
Aufgeflogen ist das Spionagenetz wohl deshalb, weil die Hacker oder ihre Auftraggeber übermütig wurden. Zum Beispiel bekam ein Diplomat, der per E-Mail vom Dalai Lama eingeladen wurde, einen Anruf der chinesischen Regierung, um ihn auf die diplomatischen Folgen seines Besuches hinzuweisen – und zwar bevor die Mitarbeiter des Dalai Lamas bei dem Diplomaten angerufen hatten. Daraufhin schalteten die Mönche die ausländischen Fachleute ein, die monatelang die Spuren der Hacker verfolgten.
Diese Spur führte zunächst in den amerikanischen Bundesstaat Kalifornien. Der Dalai Lama hat die Büros seiner Exilregierung zwar im indischen Dharamsala, doch seine Internetseite www.dalailama.com wird ebenso wie der E-Mail-Verkehr auf einem Internetrechner in Kalifornien gespeichert. Die Mönche haben ohne besondere Vorsichtsmaßnehmen E-Mails für ihre politische Arbeit genutzt. Die Zugriffe der Hacker auf die Rechner in Kalifornien erfolgten von Computern aus der chinesischen Provinz Sichuan, wo nach Angaben der beiden Cambridge-Forscher die chinesischen Geheimdienstmitarbeiter sitzen, die auf den Dalai Lama angesetzt sind.
Gefährliche „Trojaner“
Nachdem die ersten E-Mail-Postfächer, die nur mit einem einfachen Passwort geschützt waren, geknackt waren, wurde die in Hackerkreisen weit verbreitete Technik des „social Phishing“ angewendet: Die E-Mails wurden gelesen, um so viele Informationen wie möglich über den Absender und die Adressaten zu bekommen. Zusammen mit öffentlich verfügbaren Informationen, zum Beispiel Foreneinträge der Mitarbeiter des Dalai Lamas, wurden täuschend echte E-Mails formuliert und verschickt, die aber im Anhang eine Schadsoftware enthielten.
Die schadhaften Anhänge enthielten sogenannte Trojaner, die sich bei einem Klick darauf heimlich installieren und dem Angreifer die Fernsteuerung des Computers ermöglichen. Ein Mönch will sogar beobachtet haben, wie sich das E-Mail-Programm auf seinem Rechner öffnete und eine schadhafte Nachricht verschickte – ohne sein Zutun. Mit dieser Schadsoftware war es auch möglich, Tastatureingaben wie Passworte aufzuzeichnen und zum Hacker zu senden.
Da die Absender bekannt und die Inhalte glaubwürdig waren, klickten immer mehr andere Mönche, Botschaftsangehörige oder Beamte der Außenministerien auf diese E-Mails. Ein Rechner nach dem anderen wurde infiziert und damit in das Spionagenetz aufgenommen, das so immer größer wurde. Etwa zehn Rechner kamen jede Woche hinzu, haben die Forscher aus Cambridge herausgefunden. Die gekaperten Computer schickten Informationen über den Dalai Lama nach China. Wohl um die Spuren zu verwischen, wurden zwischenzeitlich sogar Rechner der von der Pekinger Regierung zu einem „bösen Kult“ erklärten Falun-Gong-Bewegung für die Spionage genutzt.
Peking bestreitet jede Beteiligung
Seit der Veröffentlichung der Ermittlungsergebnisse sei die Spionageaktivität zurückgegangen, sagen die Forscher. Die verwendeten Internet-Adressen seien ausgetauscht oder ungültig, teilte das kanadische „Munk Center“ inzwischen mit. Auch der Dalai Lama teilte inzwischen mit, sich besser gegen Datenspione schützen zu wollen. „Deshalb versuchen wir jetzt, unser System sicherer zu machen – allerdings stehen uns nur begrenzte Mittel zur Verfügung“, sagte ein Sprecher der tibetischen Exil-Regierung in Dharamsala.
Die chinesische Regierung streitet jede Beteiligung an der Spionage ab. Allerdings gab es in der Vergangenheit immer wieder ähnliche Vorwürfe. Nach Erkenntnissen des amerikanischen Verteidigungsministeriums war es 2007 „mit größter Wahrscheinlichkeit“ die chinesische Armee, die einen E-Mail-Rechner des Ministeriums angegriffen hatte. Daraufhin musste das Pentagon 1500 Rechner für etwa eine Woche vom Netz nehmen, um die Schadsoftware zu entfernen. Auch britische Behörden sind sich ziemlich sicher, dass die Angreifer, die 2007 mehrere Ministerien in London heimsuchten, aus China kamen.
Mit der Entdeckung des einen Spionagerings ist die Gefahr natürlich nicht vorbei. Anfang der Woche warnten britische Geheimdienste, dass China die Möglichkeit erlangt haben könnte, wichtige Infrastruktur in Großbritannien lahmzulegen – und zwar mit Hilfe der Technik, die der chinesische Netzwerkausrüster Huawei für den Bau des zehn Milliarden Pfund teuren Kommunikationsnetzes der britischen Telefongesellschaft BT geliefert habe.
