Über das Wochenendehat jemand einen Cache mit Dateien und Dokumenten gepostet, die offenbar vom Hacking-Unternehmen der chinesischen Regierung, I-Soon, gestohlen wurden.
Dieses Leck bietet Cybersicherheitsforschern und konkurrierenden Regierungen eine beispiellose Chance, hinter die Kulissen der von privaten Auftragnehmern ermöglichten Hacking-Operationen der chinesischen Regierung zu blicken.
Wie Hack-and-Leak-Operation Das I-Soon-Leck, das 2015 den italienischen Spyware-Hersteller Hacking Team ins Visier nahm, umfasst Unternehmensdokumente und interne Mitteilungen, aus denen hervorgeht, dass I-Soon angeblich an Hackerangriffen auf Unternehmen und Regierungsbehörden in Indien, Kasachstan, Malaysia, Pakistan, Taiwan und Thailand beteiligt war , unter anderen.
Die durchgesickerten Dateien wurden auf der Code-Sharing-Site GitHub veröffentlicht am Freitag. Seitdem haben Beobachter chinesischer Hackerangriffe fieberhaft die Akten durchforstet.
„Dies stellt das größte Datenleck im Zusammenhang mit einem Unternehmen dar, das verdächtigt wird, Cyberspionage und gezielte Einbruchsdienste für die chinesischen Sicherheitsdienste anzubieten“, sagte Jon Condra, Threat-Intelligence-Analyst beim Cybersicherheitsunternehmen Recorded Future.
Für John Hultquist, den Chefanalysten des zu Google gehörenden Unternehmens Mandiant, ist dieses Leck „eng, aber tiefgreifend“, sagte er. „Selten haben wir so ungehinderten Zugang zum Innenleben einer Geheimdienstoperation.“
Dakota Cary, Analystin beim Cybersicherheitsunternehmen SentinelOne, schrieb in einem Blog posten, dass „dieses Leck einen ersten Einblick in die internen Abläufe eines staatsnahen Hacking-Auftragnehmers bietet.“
Und ESET-Malware-Forscher Matthieu Tartare sagte, das Leck „könnte Bedrohungsanalysten dabei helfen, einige von ihnen beobachtete Kompromittierungen mit I-Soon in Verbindung zu bringen.“
Eine der ersten Personen, die das Leck durchschaute, war ein Bedrohungsforscher aus Taiwan, der sich Azaka nennt. Am Sonntag, Azaka habe einen langen Thread gepostet auf können in realen Situationen eingesetzt werden, in denen WLAN-Passwörter geknackt, WLAN-Geräte aufgespürt und WLAN-Signale gestört werden können.
I-Soons „WiFi Near Field Attack System“, ein Gerät zum Hacken von Wi-Fi-Netzwerken, das als externe Batterie getarnt ist. (Bildschirmfoto: Azaka)
„Wir Forscher haben endlich die Bestätigung, dass die Dinge dort so funktionieren und dass APT-Gruppen so ziemlich wie wir alle normalen Arbeiter funktionieren (außer dass sie schrecklich bezahlt werden)“, sagte Azaka gegenüber Tech, „dass die Skala anständig ist.“ groß, dass es einen lukrativen Markt für das Eindringen in große Regierungsnetzwerke gibt.“ APT oder Advanced Persistent Threats sind Hackergruppen, die typischerweise von einer Regierung unterstützt werden.
Nach der Analyse der Forscher zeigen die Dokumente, dass I-Soon für das chinesische Ministerium für öffentliche Sicherheit, das Ministerium für Staatssicherheit, die chinesische Armee und Marine arbeitete; und I-Soon boten ihre Dienste auch an lokale Strafverfolgungsbehörden in ganz China an und verkauften sie, um dabei zu helfen, Minderheiten wie die Tibeter und die Uiguren, eine muslimische Gemeinschaft, die in der westlichen Region Xinjiang in China lebt, ins Visier zu nehmen.
Die Dokumente verknüpfen I-Soon mit APT41, eine Hackergruppe der chinesischen Regierung Berichten zufolge ist das Unternehmen seit 2012 aktiv und richtet sich an Organisationen in verschiedenen Branchen im Gesundheitswesen, in der Telekommunikation, in der Technologie- und Videospielbranche auf der ganzen Welt.
Außerdem beherbergte eine im I-Soon-Leak gefundene IP-Adresse eine Phishing-Site der Digital-Rights-Organisation Citizen Lab Säge wurde 2019 in einer Hackerkampagne gegen Tibeter eingesetzt. Die damaligen Forscher des Citizen Lab nannten die Hackergruppe „Poison Carp“.
Azaka und andere fanden auch Chat-Protokolle zwischen I-Soon-Mitarbeitern und dem Management, von denen einige äußerst banal waren, wie etwa Mitarbeiter, die über Glücksspiele und das beliebte chinesische Spiel Mahjong auf Kachelbasis sprachen.
Cary hob die Dokumente und Chats hervor, aus denen hervorgeht, wie viel – oder wie wenig – I-Soon-Mitarbeiter bezahlt werden.
Kontaktiere uns
Wissen Sie mehr über I-Soon oder Hacks der chinesischen Regierung? Von einem Gerät aus, das nicht am Arbeitsplatz ist, können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram, Keybase und Wire @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
„Sie bekommen 55.000 Dollar bezahlt [US] – in 2024 Dollar – um das vietnamesische Wirtschaftsministerium zu hacken, das ist nicht viel Geld für ein Ziel wie dieses“, sagte Cary gegenüber Tech. „Das lässt mich darüber nachdenken, wie kostengünstig es für China ist, eine Operation gegen ein hochwertiges Ziel durchzuführen. Und was sagt das über die Art der Sicherheit der Organisation aus?“
Laut Cary zeigt das Leck auch, dass Forscher und Cybersicherheitsfirmen die möglichen zukünftigen Aktionen von Söldner-Hackergruppen auf der Grundlage ihrer bisherigen Aktivitäten vorsichtig abwägen sollten.
„Es zeigt, dass das bisherige Angriffsverhalten eines Bedrohungsakteurs, insbesondere wenn es sich um einen Auftragnehmer der chinesischen Regierung handelt, keinen Rückschluss auf seine zukünftigen Ziele gibt“, sagte Cary. „Es ist also nicht sinnvoll, sich diese Organisation anzusehen und zu sagen: ‚Oh, sie haben nur die Gesundheitsbranche gehackt, oder sie haben die X-, Y-, Z-Branche gehackt, und sie hacken diese Länder.‘ Sie reagieren auf das, was diese sind [government] Agenturen verlangen. Und diese Agenturen könnten etwas anderes verlangen. Sie könnten mit einem neuen Büro und einem neuen Standort Geschäfte machen.“
Die chinesische Botschaft in Washington DC reagierte nicht auf eine Bitte um Stellungnahme.
Eine E-Mail an den Support-Posteingang von I-Soon blieb unbeantwortet. Zwei anonyme I-Soon-Mitarbeiter sagte der Associated Press dass das Unternehmen am Mittwoch eine Besprechung abhielt und den Mitarbeitern mitteilte, dass das Leck keine Auswirkungen auf ihr Geschäft haben würde und sie „wie gewohnt weiterarbeiten“ würden.
Zum jetzigen Zeitpunkt gibt es keine Informationen darüber, wer die durchgesickerten Dokumente und Dateien gepostet hat, und auch nicht auf GitHub Habe kürzlich den durchgesickerten Cache entfernt von seiner Plattform. Mehrere Forscher sind sich jedoch einig, dass die wahrscheinlichere Erklärung ein verärgerter aktueller oder ehemaliger Mitarbeiter ist.
„Die Leute, die dieses Leck zusammengestellt haben, haben ihm ein Inhaltsverzeichnis gegeben. Und im Inhaltsverzeichnis des Leaks beschweren sich Mitarbeiter über niedrige Löhne und die finanziellen Bedingungen des Unternehmens“, sagte Cary. „Das Leck ist so strukturiert, dass es das Unternehmen in Verlegenheit bringt.“