Mitglieder der Internetaktivistengruppe Anonymous, darunter auch der frühere Anführer der Hackergruppe »LulzSec«, Hector Xavier Monsegur alias »Sabu«, der später als FBI-Informant tätig gewesen sein soll, waren wahrscheinlich wesentlich an der Aufdeckung chinesischer Hackernetzwerke durch Experten für Cybersicherheit beteiligt.
Bild
© watcharakun / Shutterstock
In dieser Woche legte das amerikanische Sicherheitsunternehmen "Mandiant" mit Sitz in Northern Virginia einen detaillierten Bericht zu diesem Thema vor, der begierig von den Medien aufgegriffen wurde. Mandiant wurde vor neun Jahren von Kevin Mandia gegründet, der zuvor auch als Experte für Computersicherheit für die amerikanische Luftwaffe gearbeitet hatte.

In dem am Dienstag dieser Woche veröffentlichten Bericht heißt es, eine schwer zu fassende Cybergruppe, die von der chinesischen Volksarmee angeheuert worden sei, stehe hinter zahlreichen Hackerangriffen der vergangenen Jahre auf mindestens 124 Unternehmen in 20 verschiedenen wichtigen Industrienationen. Zu den betroffenen Unternehmen zählt auch eine Firma, die Zugang zu kanadischen Erdölpipelines und amerikanischen Regierungseinrichtungen hat.

Auf etwa 70 Seiten liefert der Bericht eine einführende Analyse der Hacker-Gruppe und schildert, wie die Computerexperten von Mandiant Schritt für Schritt drei Mitarbeiter dieser Gruppe, die als »Fortgeschrittene und anhaltende Bedrohung« (ATP1, »Advanced Persistent Threat«) eingestuft wurde, immer genauer eingrenzen und identifizieren konnten. Diese Gruppe ist nach fester Überzeugung der Verfasser im Auftrag des chinesischen Militärs an verdeckter Cyberkriegführung gegen die USA beteiligt.

Aus etwas versteckten Hinweisen im Bericht selbst geht hervor, dass Mandiant diese investigative Arbeit allerdings nicht alleine leistete: Die Verfasser der Studie "Aufdeckung der chinesischen Cyberspionage-Einheiten" erklären dort, ein Hackerangriff aus dem Jahr 2011, der von dem lose vernetzten Internetaktivisten-Kollektiv "Anonymous" durchgeführt wurde, habe wesentlich den Grund dafür gelegt, die Identität der fernöstlichen Hacker eingrenzen zu können.

In dem Bericht liefert Mandiant ein kurzes Profil von drei Hackern, die mit dem ATP1 in enger Verbindung stehen sollen: »uglygorilla«, »DOTA« und »SuperHard«. Mandiant räumt zwar ein, dass die Ermittlungen zu der chinesischen Cybereinheit bereits seit einigen Jahren liefen, dennoch hätten die Informationen, die Anonymous 2011 offengelegt habe, nur am Rande dazu beigetragen, den Kreis der mutmaßlichen Cyberkriminellen genauer einzugrenzen.

2011 ergriff Anonymous Vergeltungsmaßnahmen gegen die so genannte Sicherheitsfirma "HBGary", nachdem »Hacktivisten« der Gruppe erkannt hatten, dass der Vorstandschef von HBGary, Aaron Barr, die Gruppe unterwandert hatte und offenbar plante, die Klarnamen von Anonymous-Mitgliedern gegenüber Bundesermittlern offenzulegen. Als Antwort begann Anonymous einen mit allen Mitteln geführten Krieg gegen HBGary und dessen Mitarbeiter. Sie hackten die Internetseite des Unternehmens, stahlen Zehntausende von E-Mails und knackten die Online-Konten der meisten führenden Mitarbeiter des Unternehmens. Zu den angegriffenen Seiten gehörte auch die Internetseite rootkit.com, eine Codierungs-Internetseite, die vom HBGary-Mitbegründer Michael Gregory »Greg« Hoglund initiiert worden war.

Aus den gehackten und teilweise veröffentlichten E-Mails geht offenbar hervor, dass HBGary Kunden angeboten hatte, normale Bürger und Konkurrenten auszuspionieren und Unterstützer von "WikiLeaks" zu diskreditieren. Nachdem Anonymous die Barr zugeordneten Online-Konten geknackt hatte, benutzten sie diese neue Zugangsmöglichkeit dazu, sich Zugriff auf Hoglunds Geschäfts-E-Mails zu verschaffen. Später gelang es ihnen dann, einen Mitarbeiter von Hoglund dazu zu »veranlassen«, sich (und damit ihnen auch) Zugang zu rootkit.comzu ermöglichen.

In ihrem Buch Inside Anonymous: Aus dem Innenleben des globalen Cyber-Aufstands aus dem Jahr 2012 schreibt die Journalistin Parmy Olson, die Hacker von Anonymous hätten »die vollständige Kontrolle über rootkit.com übernommen« und bald versucht, die Seite im Rahmen anderer Angriffe auf HBGary und Barr zu zerstören. »Als erstes übernahmen sie die Benutzernamen und Passwörter aller Personen, die sich jemals auf der Seite registriert hatten, und dann löschten sie den gesamten Inhalt der Internetseite. Jetzt sah man nur noch eine leere Seite auf der ›Greg Hoglund = erobert‹ stand«, schreibt Olsen.

Später veröffentlichte Anonymous eine Datei, in der alle Benutzernamen, Passwörter und andere Zugangshilfen aller Personen enthalten waren, die sich jemals auf rootkit.com registriert hatten. Zu diesem Kreis zählten auch, so berichtet Mandiant, die Zugangsdaten für »uglygorilla« und»SuperHard«, die nach Ansicht der Sicherheitsexperten den chinesischen Hackern zuzuordnen waren, die für die geheime »Einheit 61398« tätig sind.

»In der von Anonymous veröffentlichten Liste aller registrierten rootkit.com‹-Konten war auch ein Nutzer ›uglygorilla‹ aufgeführt, der sich mit der E-Mail-Adresse ›uglygorilla@163.com‹ registriert hatte. Mit derselben E-Mail-Adresse hatte man sich auch im "Forum 2004 LPA" und in der Internetzone Hugesoft.org angemeldet«, behauptet Mandiant und bezieht sich dabei auf den chinesischen Militärbereich und eine andere hackerfreundliche Internetseite, die mutmaßlich von der Person eingerichtet wurde, die sich hinter dem Namen »uglygorilla« verbirgt.

Nach Auffassung von Mandiant wurden Informationen aber nicht nur über diese eine Verbindung abgeschöpft. Aus den offengelegten rootkit.com-Nutzerdaten ergibt sich auch die IP-Adresse, die uglygorilla nutzte, als er sich auf der Internetseite registrierte. Diese IP-Adresse (jeder Computer, der dem Internet angeschlossen ist, erhält eine so genannte IP-Adresse) konnte einer realen Adresse aus der Region Shanghai zugeordnet werden, hinter der sich aller Wahrscheinlichkeit nach die Einheit 61398, aber auch ein weiterer vermutlich chinesischer Hacker, verbergen. »Auch im Falle SuperHards konnten wir erfreulicherweise auf die veröffentlichten rootkit.com-Kontoinformationen zurückgreifen. Das Benutzerkonto ›SuperHard_M‹ war ursprünglich von der gleichen IP-Adresse 58.247.237.4 aus registriert worden, die einem der bekannten ATP1-Ausgangsbereiche zugeordnet ist«, heißt es in dem Mandiant-Bericht.

Olson schreibt in ihrem Buch weiter, die Angriffe auf HBGary seien weitgehend von Hector Xavier Monsegur alias »Sabu«, dem mutmaßlichen Anführer der Hackergruppe "LulzSec", die dem Anonymous-Umfeld zugerechnet wird, geleitet worden. Monsegur wurde einige Monate später von der amerikanischen Bundespolizei FBI verhaftet und arbeitet seitdem als Informant für die Behörde. Am Freitag dieser Woche wird wahrscheinlich in einem New Yorker Gericht das Urteil gegen Monsegur verkündet, der wegen krimineller Aktivitäten im Zusammenhang mit Anonymous, darunter die Hackerangriffe auf HBGary und der unerlaubte Zugriff auf Hoglunds Internetseite, angeklagt worden war. Nach Angaben von Mandiant war die berüchtigte Hugesoft.org-Internetzone, die auf uglygorilla registriert ist, zumindest bis zur Veröffentlichung des Mandiant-Berichts in dieser Woche unausgesetzt aktiv.

Nach seiner Verhaftung im Jahr 2011 hat, so wird berichtet, Monsegur die amerikanischen Behörden mit umfassenden Informationen über international tätige Hacker versorgt. Es heißt u.a., er habe dem FBI einen Server zur Verfügung gestellt, der angeblich von einem anderen Aktivisten namens Jeremy Hammond benutzt wurde, und auf dem Dateien gespeichert wurden, die Ende 2011 vom privaten nachrichtendienstlich tätigen Unternehmen "Stratfor" abgeschöpft [und teilweise veröffentlicht] worden waren. Hammond selbst wird in dieser Angelegenheit ebenfalls in dieser Woche im Rahmen einer gerichtlichen Anhörung vernommen werden.