Factbox-APT31: die chinesische Hackergruppe hinter der globalen Cyberspionage-Kampagne

Die Vereinigten Staaten und Großbritannien haben Anklage erhoben und Sanktionen gegen ein Unternehmen und Einzelpersonen verhängt, die mit einer vom chinesischen Staat unterstützten Hackergruppe namens APT31 in Verbindung stehen, der sie eine umfassende Cyberspionagekampagne vorwerfen.

Diese Gruppe wurde angeblich vom chinesischen Ministerium für Staatssicherheit geleitet und hatte mehr als ein Jahrzehnt lang Millionen von Menschen, vor allem in den USA und Großbritannien, im Visier, darunter Beamte, Gesetzgeber, Aktivisten, Akademiker und Journalisten sowie Firmen, die von Verteidigungsunternehmen bis hin zu einem amerikanischen Smartphone-Hersteller reichen.

China hat die Vorwürfe bestritten.

"Wir fordern die US-amerikanische und die britische Seite auf, das Thema Cybersicherheit nicht weiter zu politisieren, China nicht weiter zu verleumden und zu diffamieren, keine einseitigen Sanktionen zu verhängen und die Cyberangriffe gegen China einzustellen", sagte der Sprecher des Außenministeriums Lin Jian.

WAS IST APT31?

Die Advanced Persistent Threat Group 31 (APT31) ist ein Kollektiv chinesischer staatlich finanzierter Geheimdienstmitarbeiter, Auftragshacker und zugehöriger Mitarbeiter, die sich mit Hacking-Aktivitäten und "bösartigen Cyber-Operationen" beschäftigen, wie das US-Finanzministerium in einer Erklärung mitteilte. APTs sind ein allgemeiner Begriff für Cyber-Akteure oder -Gruppen, oft mit staatlicher Unterstützung, die bösartige Cyber-Aktivitäten durchführen.

Die Gruppe, die auch unter dem Namen Zirconium bekannt ist, operierte über eine Scheinfirma, die Wuhan Xiaoruizhi Science and Technology Company (Wuhan XRZ), von mindestens 2010 bis Januar 2024, wie aus einer US-Anklage hervorgeht, die am Montag im östlichen Bezirksgericht von New York eingereicht wurde. Das Unternehmen steht angeblich in Verbindung mit dem chinesischen Ministerium für Staatssicherheit (MSS) in der Provinz Hubei.

Unabhängig davon behauptete die neuseeländische Regierung am 25. März, dass eine andere vom Staat unterstützte chinesische Hackergruppe, APT40, hinter einem Hack des neuseeländischen Parlaments im Jahr 2021 steckte.

WAS WIRD APT31 VORGEWORFEN?

APT31 und chinesische Sicherheitsbehörden hatten es nach Angaben der USA auf Tausende von US-amerikanischen und ausländischen Politikern, Experten für Außenpolitik und andere Personen abgesehen, die Teil der Ziele des MSS im Bereich der Auslandsaufklärung und der Wirtschaftsspionage waren. Auch Personen im Weißen Haus, im Außenministerium und Ehepartner von Beamten waren Ziele.

Oft wurden die Hacks im Zusammenhang mit geopolitischen Ereignissen durchgeführt, die China betrafen, darunter wirtschaftliche Spannungen mit den USA, maritime Ansprüche im Südchinesischen Meer und die pro-demokratischen Proteste in Hongkong im Jahr 2019 und die anschließende Niederschlagung, heißt es in der US-Anklage.

Die Verschwörung umfasste mehr als 10.000 bösartige E-Mails auf mehreren Kontinenten in einer "ausgedehnten globalen Hacking-Operation", die von Peking unterstützt wurde, so die Anklageschrift. Zu den Zielen gehörten die Unterdrückung von Kritikern Pekings, die Gefährdung von Regierungseinrichtungen und der Diebstahl von Geschäftsgeheimnissen, so die US-Behörden.

Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums hat am 25. März Sanktionen gegen Wuhan XRZ und 7 chinesische Personen verhängt, darunter Ni Gaobin und Zhao Guangzong.

Die britische Regierung hat das gleiche Unternehmen aus Wuhan zusammen mit den beiden Männern Ni und Zhao ebenfalls mit Sanktionen belegt. Die britischen Behörden werfen ihnen vor, 2021 E-Mails der Inter-Parliamentary Alliance on China (IPAC) gehackt zu haben, einer britischen Gruppe mit Verbindungen zu einem internationalen Netzwerk von China-kritischen Politikern, sowie 2021-2022 einen Cyberangriff auf die britische Wahlkommission durchgeführt zu haben.

WAS WISSEN WIR ÜBER DIE SANKTIONIERTEN PERSONEN?

Den sieben Männern im Alter zwischen 34 und 38 Jahren wird in der US-Anklageschrift vorgeworfen, mit ihren Hacking-Aktivitäten die Ziele der MSS in den Bereichen Auslandsaufklärung und Wirtschaftsspionage unterstützt zu haben.

Wuhan XRZ ist in der chinesischen Firmeninformationsdatenbank Qichacha offiziell als ein Unternehmen aufgeführt, das sich mit Technologieentwicklung und -beratung beschäftigt und weniger als 50 Mitarbeiter hat. Das Unternehmen hat seinen Sitz in einer technologischen Entwicklungszone in den südöstlichen Vororten von Wuhan.

Die Firma und APT 31 waren "für die Beauftragung, Planung oder Vorbereitung relevanter Cyberaktivitäten im Namen des chinesischen Staates verantwortlich, an ihnen beteiligt oder haben sie unterstützt", schrieb die britische Regierung auf ihrer aktualisierten Sanktionsliste.

Als derzeitiger rechtmäßiger Eigentümer wird Wang Hongye aufgeführt, der Ende 2023 die Firma von einem früheren Eigentümer übernommen hat. Die Firma wurde im Jahr 2010 mit einem Stammkapital von 250.000 Yuan gegründet.

Die US-Behörden haben eine Belohnung von bis zu 10 Millionen Dollar für Informationen über die Hacker ausgesetzt.

Ni, ein 38-jähriger chinesischer Staatsbürger, der sowohl von den USA als auch vom Vereinigten Königreich mit Sanktionen belegt wurde, wurde von den USA auch wegen seiner Angriffe auf Demokratieaktivisten und Gesetzgeber in Hongkong sowie auf Angehörige der uigurischen Minderheit durch Spearphishing-Kampagnen und Eingriffe in Informationssysteme ins Visier genommen.

In den letzten Jahren ist China gegen Dissidenten in Hongkong und in der nordwestlichen Region Xinjiang, in der viele Uiguren leben, hart vorgegangen.