Zentralasiatische Banken, Telekommunikations- und Medienunternehmen sollen 2020 von der Hackergruppe APT27 angegriffen worden sein. Der Gruppe werden Verbindungen zur chinesischen Regierung nachgesagt.

Das slowakische Sicherheitsunternehmen ESET hat am 28. April Untersuchungsergebnisse über eine Kampagne zur Computerspionage im Nahen Osten und in Zentralasien veröffentlicht. Dem Bericht zufolge hat die Operation mit dem Namen „EmissarySoldier“ sowohl private als auch öffentliche Organisationen ins Visier genommen. Ziel sei es gewesen, an geistiges Eigentum sowie an sensible Daten aus Politik und Industrie zu gelangen.

Novastan ist das einzige deutschsprachige Nachrichtenmagazin über Zentralasien. Wir arbeiten auf Vereinsgrundlage und Dank eurer Teilnahme. Wir sind unabhängig und wollen es bleiben, dafür brauchen wir euch! Durch jede noch so kleine Spende helft ihr uns, weiter ein realitätsnahes Bild von Zentralasien zu vermitteln.

Die Gruppe, die von den Herausgebern des Berichts dafür verantwortlich gemacht wird, ist unter den Namen APT27, LuckyMouse oder Emissary Panda bekannt. Sie führe seit 2010 Cyberattacken auf der ganzen Welt durch, die sich vorzugsweise gegen Regierungen und Rüstungsunternehmen richteten. Das Kürzel APT steht für „Advanced Persistent Threats“ und bezeichnet eine lange Liste von Hackergruppen mit Verbindung zu Regierungsbehörden. Diese Akteure konzentrieren sich nicht selten auf bestimmte Regionen oder Branchen und benutzen im Verlauf der Zeit unterschiedliche Techniken und Instrumente, um ihren Opfern zu schaden. Dem amerikanischen Cybersicherheitsunternehmen FireEye zufolge könnte APT27 Weisungen von chinesischen Geheimdiensten erhalten.

Chinas Interesse in Zentralasien

Die Cyberattacken von 2020 fallen mit der Ausdehnung des wirtschaftlichen Einflusses Chinas in Zentralasien im Zuge des Projekts der Neuen Seidenstraße zusammen und könnten somit ein Indiz für das wachsende Interesse Chinas in der Region sein. Fielen der Kampagne im Nahen Osten vor allem Regierungsorganisationen zum Opfer, so traf sie in Zentralasien in erster Linie private Unternehmen aus dem Telekommunikations-, Medien- und Bankensektor. Namen oder genaue Standorte der betroffenen Unternehmen wurden von ESET nicht veröffentlicht, da sich unter ihnen auch Kunden der Cybersecurity-Dienste von ESET befinden. Sensible Sektoren der zentralasiatischen Volkswirtschaften wurden in den vergangenen Jahren immer wieder zum Gegenstand von Cyberangriffen, sei es zur gezielten Spionage, sei es, um im Ausland agierende Unternehmen zu erpressen.

Zentralasien nicht zum ersten Mal Ziel von APT27

Laut ESET greift APT27 häufig auf die sog. „Watering Hole“-Technik zurück. Hierbei wird versucht, die Kontrolle über eine Webseite zu erlangen, um dann unbemerkt einen Schadcode zu implementieren, der Informationen über die BesucherInnen der Internetadresse sammelt. Die Hacker können dann einen Schadcode auf den Endgeräten derjenigen BesucherInnen einschleusen, die für sie von Interesse sein könnten. In anderen Fällen verschafften die Hacker sich Zugang über Sicherheitslücken, die durch veraltete Software verursacht wurden.

Lust auf Zentralasien in eurer Mailbox? Abonniert unseren kostenlosen wöchentlichen Newsletter mit einem Klick.

FireEye zufolge hat ATP27 bereits mehrere international ansässige Unternehmen angegriffen. Zu den bekanntesten Opfern von APT27 gehört die Internationale Zivilluftfahrtorganisation (ICAO) mit Hauptsitz in Montreal. Auch Zentralasien soll, wie die Fachzeitschrift Security Week berichtet, nicht zum ersten Mal Ziel von Cyberattacken der APT27-Gruppe geworden sein. Das auf die Entwicklung von Sicherheitssoftware spezialisierte russische Unternehmen Kaspersky hat eine Studie zu der Attacke auf das Rechenzentrum veröffentlicht. Dieser Studie zufolge sollen die Angreifer Zugriff auf alle im Rechenzentrum gehosteten unverschlüsselten Informationen erlangt haben. Außerdem konnten sie auf den Webseiten der betroffenen Regierung Schadcodes als Ausgangsbasis für weitere Cyberspionageoperationen implementieren.

Cybersicherheit eine wachsende Herausforderung für zentralasiatische Volkswirtschaften

Nur wenige Monate vor der Publikation des Untersuchungsberichts von ESET wurde APT27 der Verwendung von Ransomware beschuldigt. Bei diesen Schadprogrammen werden Daten in einem Informationssystem verschlüsselt und dadurch unzugänglich gemacht. Für die Entschlüsselung der Daten wird dann ein Lösegeld verlangt. 2020 erfolgten Angriffe mit Ransomware auf ein Medienunternehmen sowie auf die Online-Wett- und Glücksspielindustrie. Die Cybersicherheitsfirmen Positive Technologies und Security Joes bringen die Angriffe mit APT27 in Verbindung. Sie könnten dazu gedient haben, die Operationen der Gruppe rentabel zu machen.

Lest auch auch auf Novastan: Warum China den zentralasiatischen Ländern riesige Kredite gewährt – ein Expertengespräch mit Temur Umarov

Die Angriffe stellen also eine zusätzliche Gefahr für Unternehmen und öffentliche Einrichtungen in Zentralasien dar. 2019 schätzte Global Risk Insights, dass die Region weltweit mit am stärksten von Cyberkriminalität betroffen ist. Gründe dafür seien sowohl mangelnde Cybersicherheit als auch die fehlende Strafverfolgung von im Internet begangenen Straftaten. Kaspersky gab im selben Jahr bekannt, dass Usbekistan zu den am stärksten von Banking-Malware und Ransomware betroffenen Ländern der Welt zählt. Staatliche Einrichtungen in Zentralasien sind, laut ESET, nicht nur Opfer von Hackern mit Verbindung nach China, sondern auch von solchen mit Verbindung zum russischen Nachbarn.

Auch wenn Projekte wie das kasachische „Cyber Shield“ zeigen, dass die Regierungen in der Region seit einigen Jahren versuchen, die Informationssicherheit in ihren strategischen Sektoren und in ihren kritischen Infrastrukturen zu erhöhen, ist ihr relativ geringer Sicherheitsstandard ein Einfallstor für eine wachsende Anzahl von Cyberattacken.

Vadim Alinov, Redakteur für Novastan

Aus dem Französischen von Lucas Kühne

Noch mehr Zentralasien findet ihr auf unseren Social Media Kanälen, schaut mal vorbei bei Twitter, Facebook, Telegram, Linkedin oder Instagram. Für Zentralasien direkt in eurer Mailbox könnt ihr euch auch zu unserem wöchentlichen Newsletter anmelden.