Vom Einbruch bei SolarWinds im Jahr 2020 bis zu den vorausschauenden Schutzmaßnahmen für die Olympischen Spiele 2024 in Paris: Die Gefahr von KI-gestützter Cyberspionage wächst immer weiter.
Das Aufkommen fortschrittlicher, anhaltender Bedrohungen (engl. Advanced Persistent Threats, APTs) macht deutlich, wie leicht staatliche Akteure auch in die sichersten Netzwerke eindringen und eine Spur von Chaos hinterlassen können.
Die Regierungen sind sich nun der Gefahr eines digitalen kalten Krieges bewusst, in dem Cyberspione und Cyberkriege auf virtuellen Schlachtfeldern stattfinden.
Allerdings gibt es auch Befürchtungen im Hinblick auf die immer ausgefeilteren und gezielteren Methoden, die die nationale Sicherheit, das Gefüge des globalen Handels, die kritische Infrastruktur sowie die Privatsphäre gefährden.
In diesem Leitfaden werden die umfangreichsten Cyberspionage-Kampagnen der letzten 12 Monate untersucht und die Erwartungen für das kommende Jahr dargelegt.
Wichtigste Erkenntnisse
- Die Fälle von Cyberspionage haben sich zur Zielscheibe kritischer Infrastrukturen und strategischer Sektoren auf der ganzen Welt entwickelt.
- Staatlich unterstützte Täter, darunter solche aus China, Russland, Iran und Nordkorea, haben ausgefeilte Fähigkeiten bei der Infiltration und Störung von Netzwerken bewiesen.
- Die jüngsten Vorfälle zeigen, dass es immer schwieriger wird, Cloud-Infrastrukturen vor Spionageversuchen zu schützen.
Advanced Persistent Threats (APTs) setzen innovative Taktiken wie „MFA-Bombing“ und das Fälschen von Authentifizierungstoken zur Erlangung von unberechtigtem Zugriff ein. - Die strategische Ausrichtung auf Sektoren, die in nationalen Entwicklungsplänen wie Made in China 2025 skizziert sind, zeigt die wirtschaftlichen Beweggründe hinter Cyberspionage-Kampagnen.
-
- 1. Sicherung der Olympischen Spiele 2024 in Paris: Herausforderung der Cyberspionage
- 2. Spionageoperation von Patchwork APT: VajraSpy RAT infiltriert Google Play
- 3. Kompromittierte Cloud: Wie APT29 Cloud-Schwachstellen ausnutzt
- 4. Das I-Soon-Leck enthüllt Chinas Cyberspionage-Maschine
- 5. Irans Cyberspionage zielt auf die Luft- und Raumfahrt im Nahen Osten
- 6. Grenzüberschreitende Cyberspionage: Nordkoreas Überfall auf südkoreanische Halbleiterproduzenten
- 7. Chinesische Spionage durchbricht niederländische Verteidigung
- 8. Cyberspionageoperationen gegen westliche Spitzenbeamte
- 9. Made in China 2025: Weg der Cyberspionage zur wirtschaftlichen Vorherrschaft
- 10. Storm-0558: Microsoft deckt große chinesische Cyberspionageoperation auf
-
- 1. Sicherung der Olympischen Spiele 2024 in Paris: Herausforderung der Cyberspionage
- 2. Spionageoperation von Patchwork APT: VajraSpy RAT infiltriert Google Play
- 3. Kompromittierte Cloud: Wie APT29 Cloud-Schwachstellen ausnutzt
- 4. Das I-Soon-Leck enthüllt Chinas Cyberspionage-Maschine
- 5. Irans Cyberspionage zielt auf die Luft- und Raumfahrt im Nahen Osten
- 6. Grenzüberschreitende Cyberspionage: Nordkoreas Überfall auf südkoreanische Halbleiterproduzenten
- 7. Chinesische Spionage durchbricht niederländische Verteidigung
- 8. Cyberspionageoperationen gegen westliche Spitzenbeamte
- 9. Made in China 2025: Weg der Cyberspionage zur wirtschaftlichen Vorherrschaft
- 10. Storm-0558: Microsoft deckt große chinesische Cyberspionageoperation auf
- Alles zeigen
Top 10 Cyberspionagefälle von 2023–2024
1. Sicherung der Olympischen Spiele 2024 in Paris: Herausforderung der Cyberspionage
Im Vorfeld der Olympischen Spiele 2024 in Paris sieht sich Frankreich mit einer eskalierenden Cyber-Bedrohungslage konfrontiert, die durch den ANSSI-Bericht über eine deutliche Zunahme der Spionage gegen strategische Sektoren, einschließlich öffentlicher Verwaltungen und Verteidigungseinrichtungen, hervorgehoben wird.
Diese Zunahme der Cyberspionage und der ausgeklügelten Angriffe auf mobile Geräte und Netzwerke auf dem Festland und in den Überseegebieten zeigt, dass es sich um Taktiken staatlicher Akteure wie Russland und China handelt.
Angreifer können die große digitale Reichweite von Großevents und das Rampenlicht der Medien zur Überwachung, Erpressung, Beschädigung des Images des Gastgeberlandes sowie zur Störung der Veranstaltung nutzen.
Angesichts der bevorstehenden Olympischen Spiele konzentriert sich die ANSSI auf die Vorbereitung und Destabilisierung der Lage.
Sie unterstreicht die Notwendigkeit einer fortschrittlichen Cybersicherheitsverteidigung vor dem Hintergrund einer verstärkten digitalen Kriegsführung und betont die kritische Bedeutung von nationaler und internationaler Wachsamkeit und Bereitschaft.
2. Spionageoperation von Patchwork APT: VajraSpy RAT infiltriert Google Play
Die indische APT-Gruppe Patchwork hat über Google Play Cyberspionage-Apps verbreitet.
Sie hat Pakistaner mit einem neuen Remote-Access-Trojaner (RAT) namens VajraSpy ins Visier genommen, der in scheinbar legitimen Messaging- und Nachrichtenanwendungen versteckt ist.
Berichten zufolge wurden im Rahmen der Cyberspionage-Kampagne Tausende mit Malware infizierte Apps heruntergeladen, die Kommunikation abfangen, Nachrichten von Plattformen wie WhatsApp und Signal extrahieren, Telefongespräche aufzeichnen und über die Kameras der kompromittierten Geräte heimlich Fotos machen können.
Zwar wurde VajraSpy aus Google Play entfernt, doch bleibt es eine Gefahr für die App Stores von Drittanbietern, was die Komplexität der von staatlich unterstützten Akteuren ausgehenden Cyber-Bedrohungen eindrucksvoll belegt.
3. Kompromittierte Cloud: Wie APT29 Cloud-Schwachstellen ausnutzt
In einer bemerkenswerten Entwicklung von Cyberspionage-Taktiken hat die russische Elite-Bedrohungsgruppe APT29 (auch bekannt unter Namen wie Cozy Bear, Midnight Blizzard und Nobelium) ihren Hacking-Schwerpunkt geschickt auf Cloud-Schwachstellen verlagert.
Dies verdeutlicht die wachsende Herausforderung bei der Sicherung von Cloud-Infrastrukturen gegen raffinierte Angriffe.
Westliche Geheimdienste erkennen APT29 als eine Einheit des russischen Auslandsgeheimdienstes (SVR) an.
APT29 hat seine Methoden angepasst, um die Cloud-Dienste von Regierungen und Unternehmen effektiv zu infiltrieren.
Zu den jüngsten Aktivitäten der APT29, die bereits für den Hack des Demokratischen Nationalkomitees 2016 und die Kompromittierung der Software-Lieferkette von SolarWinds im Jahr 2020 berüchtigt ist, gehören das Eindringen in die E-Mail-Konten von Microsoft-Mitarbeitern und das Auslesen sensibler Daten von Hewlett Packard Enterprise.
Dieser strategische Fokus auf Dienste und ruhende Konten sowie innovative Taktiken wie das „MFA-Bombing“ unterstreichen die anhaltende und anpassungsfähige Natur von Cyber-Bedrohungen in Cloud-Umgebungen.
Das britische National Cyber Security Centre (NCSC) hat in Zusammenarbeit mit globalen Cybersicherheitsbehörden, darunter die NSA und das FBI, eine Warnung vor den raffinierten Techniken der APT29 veröffentlicht.
Diese umfassen Brute Forcing und Passwort Spraying zur Ausnutzung von Dienstkonten, die aufgrund ihrer gemeinsamen Verwendung innerhalb von Organisationen oft nur unzureichend durch Multi-Faktor-Authentifizierung geschützt sind.
4. Das I-Soon-Leck enthüllt Chinas Cyberspionage-Maschine
Kürzlich enthüllte das Datenleck bei I-Soon eine umfassende Bilanz von Chinas Cyberspionage-Operationen.
Dabei wurde eine weitreichende Kampagne aufgedeckt, die auf eine Reihe globaler Einrichtungen abzielt, von Social-Media-Plattformen bis hin zu Regierungsorganisationen.
Diese Veröffentlichung, die auf GitHub kursiert, offenbart ein breites Spektrum an ausgefeilten Hacking-Tools und -Fähigkeiten, wie z. B. Malware, die Android– und iOS-Geräte angreifen kann, benutzerdefinierte Remote-Access-Trojaner (RATs) und Geräte zum Eindringen in Netzwerke.
Weitere Analysen haben ergeben, dass I-Soon, ein Cybersicherheitsunternehmen, unter der Schirmherrschaft der chinesischen Regierung arbeitet.
Die Firma bietet vor allem Dienstleistungen für Behörden wie das Ministerium für öffentliche Sicherheit an, was eine staatlich geförderte Dimension dieser Cyberaktivitäten verdeutlicht.
5. Irans Cyberspionage zielt auf die Luft- und Raumfahrt im Nahen Osten
Sicherheitsforscher von Mandiant, einem Teil der Cybersicherheitssparte von Google Cloud, haben eine komplexe Cyberspionage-Kampagne aufgedeckt, die mit dem Iran in Verbindung steht und auf die Luft- und Raumfahrt- sowie die Verteidigungsbranche im Nahen Osten abzielt.
Demnach schreibt Mandiant die Kampagne der iranischen Gruppe UNC1549 zu, die wiederum in Zusammenhang mit der Tortoiseshell-Hacking-Operation stehen soll.
Die Operation ist für ihre Angriffe auf die israelische Schifffahrt sowie auf US-amerikanische Luft- und Raumfahrt- und Rüstungsunternehmen bekannt und wird mit dem Korps der Islamischen Revolutionsgarde (IRGC) des Iran in Verbindung gebracht.
Angesichts der anhaltenden regionalen Spannungen und der Unterstützung der Hamas durch den Iran gewinnt diese Verbindung besondere Bedeutung.
Im Rahmen der Kampagne wurden die Cloud-Infrastruktur von Microsoft Azure und Social Engineering extensiv für den Einsatz von zwei neuartigen Backdoors, MINIBIKE und MINIBUS, ausgenutzt.
Diese Backdoors ermöglichen die Exfiltration von Dateien, die Ausführung von Befehlen und ausgefeilte Aufklärungsfunktionen.
Außerdem wurde ein benutzerdefinierter Tunnel mit der Bezeichnung LIGHTRAIL identifiziert, der Cyberspionage unter harmlosem Internetverkehr tarnt.
Dies ist die sich entwickelnde Bedrohungslandschaft und die dringende Notwendigkeit einer erhöhten Wachsamkeit im Bereich der Cybersicherheit in verteidigungsbezogenen Sektoren.
6. Grenzüberschreitende Cyberspionage: Nordkoreas Überfall auf südkoreanische Halbleiterproduzenten
Nordkoreanische Hacker sind in südkoreanische Halbleiterhersteller eingedrungen und haben wichtige Konstruktionszeichnungen und Fotos von Produktionsanlagen erbeutet, wie der südkoreanische Geheimdienst NIS (National Intelligence Service) bekannt gab.
Die Cyberspionage beweist die Absicht Pjöngjangs, inmitten internationaler Sanktionen, die die Beschaffung erschweren, Halbleiter für seine Waffenprogramme zu entwickeln.
Die Einbrüche, die im Dezember und Februar stattfanden, unterstreichen einen strategischen Schritt Nordkoreas, seine Kapazitäten für Satelliten- und Raketentechnologie auszubauen.
Die südkoreanische Spionagebehörde weist auf die Taktik der Hacker hin, die legitime Tools auf Servern zur Umgehung der Entdeckung nutzen, was die Abwehr dieser Cyberangriffe besonders schwierig macht.
Nordkoreas Cyberoperationen sind zwar gut dokumentiert, insbesondere was den Diebstahl von Kryptowährungen zur Finanzierung seines Regimes und der Waffenbestrebungen betrifft, doch diese jüngsten Vorfälle deuten auf eine raffinierte Weiterentwicklung der Cyberkriegsstrategien Pjöngjangs hin.
Es geht um Schlüsseltechnologien und Staatsgeheimnisse zur Umgehung internationaler Sanktionen.
7. Chinesische Spionage durchbricht niederländische Verteidigung
Bei einem aufgedeckten Cybersicherheitsvorfall wurde das niederländische Verteidigungsministerium im vergangenen Jahr Opfer einer chinesischen Cyberspionageoperation.
Der militärische Nachrichten- und Sicherheitsdienst der Niederlande (MIVD) entdeckte den Einsatz von Malware, darunter eine besonders hartnäckige Variante namens Coathanger.
Der Remote-Access-Trojaner (RAT), der auf Fortigate Network Security Appliances abzielt, zeigte eine alarmierende Widerstandsfähigkeit.
Er überlebte Systemneustarts und sogar Firmware-Updates – eine Eigenschaft, die Bemühungen zur Schadensbegrenzung erschwert.
Glücklicherweise konnten die Auswirkungen des Einbruchs durch die wirksame Segmentierung des Netzwerks abgeschwächt werden.
Diese Sicherheitsmaßnahme beschränkte die Gefährdung auf ein Forschungs- und Entwicklungsnetzwerk mit weniger als 50 Nutzern.
Trotz des begrenzten Schadens ist dieser Vorfall ein Beleg dafür, wie ausgeklügelt und hartnäckig staatlich gesponserte Cyber-Bedrohungen sind, insbesondere durch chinesische Spione gegen globale Ziele.
8. Cyberspionageoperationen gegen westliche Spitzenbeamte
Im Dezember 2023 beschuldigten das Vereinigte Königreich und die USA gemeinsam russische Sicherheitsdienste, eine weitreichende Cyberspionage-Kampagne durchgeführt zu haben.
Ziel des Angriffs waren hochrangige Persönlichkeiten, darunter Politiker, Journalisten und Nichtregierungsorganisationen.
Dieser Vorwurf reiht sich ein in frühere Verdächtigungen der russischen Einmischung in wichtige politische Ereignisse, wie das Brexit-Referendum 2016.
Gleichzeitig haben die USA Anklage gegen zwei Russen erhoben, die an einer breit angelegten Hacking-Initiative gegen NATO-Länder beteiligt waren, und Sanktionen gegen sie verhängt.
In der Klage des Vereinigten Königreichs wurden die Versuche des FSB hervorgehoben, den digitalen Schutz der britischen Parlamentarier verschiedener Parteien zu durchbrechen, was zu Dokumentenlecks führte, die sich über den Zeitraum von 2015 bis 2023 erstreckten, einschließlich sensibler Handelsdokumente zwischen dem Vereinigten Königreich und den USA vor den britischen Parlamentswahlen 2019.
Dieser gemeinsame Aufruf des Vereinigten Königreichs und der USA unterstrich die anhaltende und sich weiterentwickelnde Cyber-Bedrohung durch Russland und betonte die Notwendigkeit von Wachsamkeit und robusten Verteidigungsmechanismen gegen solche staatlich geförderten Spionageaktivitäten.
9. Made in China 2025: Weg der Cyberspionage zur wirtschaftlichen Vorherrschaft
In einer überzeugenden Aussage vor dem Unterausschuss für Justiz des Repräsentantenhauses wies Benjamin Jensen auf die weit verbreiteten Cyberspionage-Taktiken hin, mit denen die Kommunistische Partei Chinas (KPCh) die amerikanische Wirtschaft untergräbt.
Sie zielten hauptsächlich auf geistiges Eigentum in den Bereichen Technologie, Energie und Luftfahrt ab.
Jensen erklärte, dass China mit zahlreichen Cyberspionage-Kampagnen in Verbindung gebracht wird, die weit über diejenigen hinausgehen, die anderen Nationen wie Russland zugeschrieben werden.
Ziel dieser Operationen, die im Dyadic Cyber Incident and Campaign Dataset minutiös dokumentiert sind, ist der Diebstahl von wertvollem geistigem Eigentum, der sich eng an Chinas Strategieplan Made in China 2025 anlehnt.
10. Storm-0558: Microsoft deckt große chinesische Cyberspionageoperation auf
Letztes Jahr enthüllte Microsoft eine ausgeklügelte chinesische Cyberspionage-Kampagne mit der Bezeichnung Storm-0558, die die E-Mail-Konten von mindestens 25 Organisationen, darunter auch die der US-Regierung, kompromittierte.
Die von einem Kunden am 16. Juni eingeleitete Untersuchung von Microsoft ergab, dass der unbefugte Zugriff bis zum 15. Mai zurückreichte und vor allem westeuropäische Unternehmen durch Spionage, Datendiebstahl und das Abgreifen von Zugangsdaten betroffen waren.
Die Täter verschafften sich Zugang über Outlook Web Access und Outlook.com, indem sie Authentifizierungstoken fälschten und ein Token-Validierungsproblem ausnutzten, um sich als Azure AD-Benutzer auszugeben.
Microsoft reagierte schnell auf die Bedrohung. Es blockierte die gefälschten Token, ersetzte den kompromittierten Schlüssel und verbesserte die Schutzmaßnahmen für seine Cloud-Dienste.
Der Vorfall, der vom Außen- und Handelsministerium der USA bestätigt wurde, wirft ein Schlaglicht auf die zunehmende Heimlichkeit und Raffinesse der chinesischen Cyberspionage, die sich fortschrittlicher Proxy-Netzwerke zur Umgehung der Entdeckung bedient.
Große Cyberspionage-Gruppen weltweit
(FSB-gestützt) (Mittlerer Osten)
Name der Gruppe
Herkunft/Verbundenheit
Bekannt für
Ziele
Andere Namen
Cozy Bear
Russisch
SolarWinds, DNC-Hack
Regierungsstellen in den USA, dem Vereinigten Königreich, der EU, Südkorea und Usbekistan
APT29, YTTRIUM, The Dukes, Office Monkeys
Gorgon Group
Pakistanisch
MasterMana Botnet-Hack, Diebstahl von Zugangsdaten
USA, Deutschland, Südkorea, Indien, VAE und der Versorgungssektor
Deep Panda
Chinesisch
Anthem-Hack, OPM-Hack
In den USA ansässige Organisationen aus den Bereichen Regierung, Verteidigung, Finanzen, Telekommunikation
KungFu Kittens, Shell Crew, WebMasters
Bouning Golf
Unbekannt
GolfSpy-Malware-Infektion
Militärdaten aus dem Nahen Osten, türkische, kurdische und ISIS-Anhänger in verschiedenen Ländern
CopyKittens
Iranisch
Operation „Wilted Tulip“, Anschläge auf den Deutschen Bundestag
Deutschland, Israel, Saudi-Arabien, Türkei, USA, Jordanien, UN-Mitarbeiter
Apt33
Iranisch (staatlich gestützt)
Angriffe auf den Luftverkehrs- und Energiesektor
USA, Südkorea, Saudi-Arabien. Organisationen im Bereich Luftfahrt und petrochemische Produktion
HOLMIUM, Elfin
Charming Kitten
Iranisch
Phishing-Angriffe, Diebstahl von Zugangsdaten
Think Tanks, politische Forschungszentren, Journalisten und Umweltaktivisten
APT35, Phosphorus, Newscaster, Ajax
Magic Hound
Iranisch
Speer-Phishing, Verbreitung von Malware
Regierung, Technologie- und Energiesektor in Saudi-Arabien und den USA
Rocket Kitten, Cobalt Gypsy
Muddy Water
Iranisch
Speer-Phishing, Android-Malware
Naher Osten, Asien, Europa, USA, Regierungssektoren, Telekommunikation
Windshift
Unbekannt
OSX-Nutzer als Zielgruppe
Bestimmte Personen in Behörden und kritischen Infrastrukturen in der gesamten Region des Golfkooperationsrates
Bahamut
Fazit
Die jüngsten Fälle von Cyberspionage – vom Einbruch bei SolarWinds bis zur Infiltration von Google Play durch VajraSpy RAT – veranschaulichen die strategische Absicht staatlicher Akteure, wirtschaftliche, politische und sicherheitspolitische Interessen über den digitalen Bereich zu verletzen.
Die Raffinesse dieser Kampagnen, die von Schwachstellen in der Cloud bis hin zu modernster Malware reichen, verdeutlicht die Notwendigkeit einer robusten Cybersicherheitsabwehr.
Da Cyberspionage zu einem immer wichtigeren Bestandteil globaler Strategien wird, ist das Verständnis dieser Vorfälle von entscheidender Bedeutung für die Entwicklung wirksamer Gegenmaßnahmen und den Schutz sowohl traditioneller als auch digitaler Grenzen.
Auch Edward Snowdens und Julian Assanges Enthüllungen werfen ein Licht auf die Komplexität des digitalen Datenschutzes und der staatlichen Transparenz und zeigen, dass die USA und das Vereinigte Königreich bei der Cyberspionage nicht unschuldig sind.
Dank ihrer Veröffentlichungen über die CIA wurden noch nie dagewesene Überwachungs- und Verfolgungstaktiken gegen WikiLeaks und ähnliche Aktivistengruppen enthüllt, die die Vorstellungen von Freiheit und Privatsphäre in Frage stellen.
FAQ
Was ist ein Beispiel für einen größeren Vorfall im Zusammenhang mit Cyberspionage?
Ist Cyberspionage eine Kriegshandlung?
Ist Cyberspionage illegal?
Was sind die fünf Arten von Spionage?
Quellenangaben
- Panorama de la cybermenance 2023 (Cert.ssi.gouv)
- Google Play Used to Spread ‘Patchwork’ APT’s Espionage Apps (Darkreading)
- Russian cyberespionage group APT29 targeting cloud vulnerabilities (SC Media)
- Inline XBRL Viewer (SEC)
- UK and allies expose evolving tactics of Russian cyber actors (Ncsc.gov)
- The I-Soon data leak unveils China’s cyber espionage tactics, techniques, procedures, and capabilities (The CyberWire)
- When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors (Mandiant)
- North Korea hacked South Korea chip equipment makers, Seoul says (BBC)
- North Korea: Missile programme funded through stolen crypto, UN report says (BBC)
- North Korea hackers stole $400m of cryptocurrency in 2021, report says (BBC)
- Chinese hackers infect Dutch military network with malware (Bleepingcomputer)
- TLP:CLEAR MIVD AIVD Advisory Coathanger (NCSC)
- UK, US accuse Russia of cyber-espionage campaign against top politicians (France24)
- How the Chinese Communist Party Uses Cyber Espionage to Undermine the American Economy (CSIS)
- What is Made in China 2025 and Why Has it Made the World So Nervous? (China Briefing)
- Microsoft mitigates China-based threat actor Storm-0558 targeting of customer email (MSRC Microsoft)
- Chinese hackers breached State, Commerce Depts, Microsoft and US say (Reuters)
- Snowden Documents Reveal Covert Surveillance and Pressure Tactics Aimed at WikiLeaks and Its Supporters (The Intercept)
- Kidnapping, assassination and a London shoot-out: Inside the CIA’s secret war plans against WikiLeaks (Yahoo! News)