Wie schaut eigentlich der Tagesablauf chinesischer Staatshacker aus? Anscheinend ist er nicht dicht genug, denn laut der US-amerikanischen IT-Sicherheitsfirma FireEye kümmern sich die IT-Genies auch noch um private Zuverdienste. So soll sich die Gruppe APT41, auch bekannt unter den Namen Barium und Winnti, in ihrer Freizeit auch in Videospiele gehackt und am Kryptowährungsmarkt Geld dazuverdient haben.

Es ist offen, ob die staatlichen Auftraggeber von diesen Nebenjobs wissen, sie decken oder die Hacker einfach der Überprüfung ausweichen. Auch Letzteres wäre ihnen zuzutrauen.

Geänderter Fokus seit 2015

Denn APT41 gilt laut "Technology Review" als renommiert und sei seit mindestens 2012 aktiv. In ihrer Anfangszeit habe die Gruppe vor allem geistiges Eigentum gestohlen. Opfer seien die Pharmaindustrie und Medizinprodukte gewesen. 2015 soll Chinas Präsident Xi Jinping mit seinem US-Amtskollegen Barack Obama jedoch vereinbart haben, Diebstähle in diesen sensiblen Bereichen künftig zu unterlassen.

Seither habe sich der Fokus von APT41 verlagert. Es werde nichts mehr gestohlen, sondern es würden jene Personen und Firmen überwacht, die für Peking von Interesse seien. So soll etwa der taiwanesische Tech-Krösus Asus angegriffen worden sein. Selbst ins Reservierungssystem einer Hotelkette sei die Gruppe eingestiegen, bevor sich eine offizielle chinesische Delegation dort niederließ.

Großes Waffenarsenal

Dafür wird Malware in das ins Visier genommene Unternehmen geschleust. Die dabei verwendeten Methoden sind vielfältig, unter anderem Spear Pishing. Während bei herkömmlichen Pishing-Angriffen Mails mit Links auf manipulierte Seiten an möglichst viele Empfänger versendet werden, ist Spear Pishing die feinere Variante dessen. Dabei werden die gewünschten Opfer gezielt individuell angeschrieben.

Um Zugang zum Unternehmen zu erhalten, werden aber auch persönliche Informationen der Mitarbeiter gestohlen, oder es wird etwa die Videokonferenz-Software Team Viewer gehackt. Die Gruppe verwendet das gesamte Schreckensarsenal. APT41 soll über 150 einzigartige Exemplare an Malware verfügen.

Privater Zuverdienst

Ihr Können sei also offensichtlich, und anscheinend benutzen sie dieses auch in ihrer Freizeit. So soll sich die Hackergemeinschaft in die Versorgungskette von Videospielunternehmen eingeschleust haben. Dabei hätten sie unter anderem beträchtliche Summen der im jeweiligen Spiel verwendeten virtuellen Währung gestohlen und diese dann am Schwarzmarkt gegen echtes Geld eingetauscht. Ging der Plan nicht auf, habe die Gruppe stattdessen Ransomware ins System der Spielentwickler geschleust und damit Geld erpresst.

Die Forscher betonen jedoch, dass APT41 strikt zwischen staatlicher Spionage und Freizeitvergnügen unterscheide. Fortgeschrittene Malware werde von der Gruppe ausschließlich für staatliche Ziele genutzt. Ob das die Allgemeinheit beruhigt, ist eine andere Frage. (red, 12.8.2019)