Symantec: Chinesische Elite-Hacker bieten ihre Dienste an

Symantec hat sich mit einer Gruppe chinesischer Hacker beschäftigt, die schon für aufsehenerregende Attacken rund um die Welt verantwortlich war. Sie ist extrem gut organisiert ist und umfasst wohl 50 bis 100 Mitglieder. Die Sicherheitsforscher benannten die Gruppe Hidden Lynx nach in der Kommunikationen mit ihren Kommando- und Kontrollservern versteckten Begriffen. Laut Symantec hat die Gruppe frühen Zugang zu Zero-Day-Lücken; sie konzentriert sich nicht nur auf ein einziges Ziel, sondern greift Hunderte von verschiedenen Organisationen in unterschiedlichen Regionen an – und manchmal mehrere Ziele gleichzeitig.

„Angesichts der Breite und Anzahl von Zielen gehen wir davon aus, dass diese Gruppe eine professionelle Hackerorganisation ist, die Aufträge von Kunden ausführt, um an Informationen zu gelangen“, schreibt Symantec in einem Blogeintrag. „Sie stehlen auf Anforderung, was immer ihre Auftraggeber interessiert, was die große Vielfalt ihrer Ziele erklärt.“

Von „Hidden Lynx“ am häufigsten angegriffene Länder und Branchen (Bild: Symantec)

Nach Symantecs Ermittlungen sind die Mitarbeiter der Organisation in mindestens zwei Teams organisiert. Das erste Team sei für frontale Attacken zuständig und setze dafür Basistechniken ein, um anzugreifen und Informationen zu sammeln, während das zweite mehr als eine Eliteeinheit für Sondereinsätze zu sehen sei.

Vorrangig sind die USA im Visier von Hidden Lynx – amerikanische Organisationen machen rund 53 Prozent der Opfer aus. Taiwan und China folgen mit 16 beziehungsweise 9 Prozent. Mit 2,2 Prozent steht Deutschland auf Platz 7 der bevorzugt angegriffenen Länder – und damit noch vor Russland mit 1,7 Prozent. Besonders häufig ziehen die Finanzbranche, Luftfahrt, Rüstungsindustrie, Energiewirtschaft sowie Technologiefirmen Angriffe auf sich – betroffen sind aber auch Regierungsbehörden.

Der Report (PDF) von Symantec bringt Hidden Lynx auch mit der Operation Aurora in Verbindung, der von Google im Januar 2010 öffentlich gemachten Angriffsserie, die auf Googles Quellcode zielte. Von dieser bislang aufsehenerregendsten Angriffsserie auf US-Firmen waren außerdem Adobe Systems und Dutzende weiterer Unternehmen betroffen.

Während Symantec keinen Zusammenhang zwischen Hidden Lynx und der chinesischen Regierung herstellt, sieht das Dmitri Alperovitch anders, CTO der Sicherheitsfirma CrowdStrike. Er verlieh Operation Aurora ihren Namen, nachdem er im Februar 2010 wichtige Details über die Angriffe herausfand, und beschäftigt sich seither fortlaufend damit. Nach seiner Einschätzung arbeitet die Hackergruppe ausschließlich für die chinesische Regierung und staatseigene Unternehmen. „Nicht bekannt ist lediglich, ob sie formal eine militärische Einheit sind oder Auftragnehmer im Verteidigungssektor“, sagte er gegenüber Reuters.

[mit Material von Michael Lee, ZDNet.com]