Als Ergebnis der Studie stellte das Wall Street Journal fest, dass der Cloud Hopper-Angriff weitaus umfangreicher war als bisher angenommen.
Überall schienen sich Hacker zu verstecken.
Bei einem der größten Versuche, Industriespionage zu organisieren, soll den Angreifern nachgesagt worden sein, dass sie in den letzten Jahren mit chinesischen Geheimdiensten zusammengearbeitet haben, um große Mengen an geistigem Eigentum, Informationen über den Zugang zu Verschlusssachen und andere Unterlagen von vielen Unternehmen zu stehlen. Sie erhielten Zugang zu Systemen, die die Geheimnisse der Erforschung von Rio Tinto enthielten, sowie zu nicht-öffentlichen medizinischen Untersuchungen des riesigen Elektronik- und Gesundheitsunternehmens Philips.
Sie drangen über Cloud-Dienstleister in Systeme ein - genau in die Clouds, in denen Unternehmen ihre Daten in der Hoffnung auf ihre Sicherheit gespeichert haben. Nachdem Hacker in einen solchen Dienst eingedrungen waren, konnten sie sich anonym und frei von einem Client zum anderen bewegen und widersetzten sich jahrelang den Versuchen von Forschern, sie von dort wegzuwerfen.
Zum ersten Mal entdeckten Cybersicherheitsforscher 2016 Anzeichen von Hacking und nannten sie Cloud Hopper. Im Dezember letzten Jahres
beschuldigten die US-Staatsanwälte zwei chinesische Staatsbürger, dies getan zu haben. Die Verdächtigen sind noch nicht inhaftiert.
Eine Studie des Wall Street Journal ergab, dass das Ausmaß dieses Angriffs viel größer ist als bisher angenommen. Es geht weit über die in der Anklageschrift aufgeführten 14 nicht genannten Unternehmen hinaus und erstreckt sich auf mehrere Cloud-Anbieter von mindestens zehn, darunter CGI Group Inc., einen der größten kanadischen Anbieter. Tieto Oyj, ein großes finnisches IT-Unternehmen; und International Business Machines Corp.
WSJ sammelte Informationen zu Hackerangriffen und Gegenangriffen von Sicherheitsfirmen und westlichen Regierungen, befragte mehr als zehn Ermittler, untersuchte Hunderte von Seiten interner Dokumentation und Unternehmensuntersuchungen sowie technische Daten zu Einbrüchen.
WSJ fand das bei Hewlett Packard Enterprise Co. Alles war so schlimm, dass das Cloud-Unternehmen nicht einmal bemerkte, dass Hacker wieder in das Client-Netzwerk eindrangen, und allen Kunden grünes Licht gab.
Innerhalb der Wolken hatte eine Gruppe von Hackern, die westliche Beamte und Forscher APT10 nannten, Zugang zu einer großen Anzahl von Kunden. Eine WSJ-Studie ergab, dass Hunderte von Unternehmen mit betroffenen Cloud-Anbietern zusammenarbeiten, darunter Rio Tinto, Philips, die American Airlines Group Inc., die Deutsche Bank AG, die Allianz SE und GlaxoSmithKline PLC.
FBI-Direktor Christopher Ray verlas die Anklage gegen zwei chinesische Staatsbürger bei dem Cloud-Hopper-Angriff am 20. Dezember 2018Die Frage, ob Hacker bis heute in den Netzwerken von Unternehmen bleiben, bleibt offen. WSJ überprüfte die von SecurityScorecard bereitgestellten Daten und fand Hunderte von IP-Adressen auf der ganzen Welt, die von April bis Mitte November weiterhin Daten an das APT10-Netzwerk übermittelten.
Nach Angaben aktueller und ehemaliger Beamter waren US-Behörden, einschließlich des US-Justizministeriums, besorgt darüber, ob sie Opfer dieser Angriffe wurden und ob diese Angriffe der chinesischen Regierung Zugang zu kritischer Infrastruktur verschafften. Im Jahr 2019
berichtete Reuters
über bestimmte interessante Aspekte des chinesischen Cyberspionage-Projekts.
Jetzt behauptet die US-Regierung, dass APT10 es geschafft hat, detaillierte Fälle von mehr als 100.000 US Navy-Mitarbeitern zu stehlen.
US Navy Sailors Watch EA-18 Growler FlugzeugeForscher, sowohl von der Regierung als auch von Dritten, behaupten, dass viele der größten Cloud-Unternehmen versucht haben, Kunden über die Vorgänge in ihren Netzwerken im Dunkeln zu halten. "Es war wie der Versuch, Treibsand zu stoppen", sagte ein Forscher.
Die Beamten des US-Heimatschutzministeriums sind vom Widerstand der Cloud-Unternehmen so enttäuscht, dass sie heute daran arbeiten, die Bundesverträge zu überarbeiten, um die Unternehmen zu zwingen, sich künftigen Erfassungen zu unterziehen, wie einige mit dem Thema vertraute Personen sagen.
Ein Sprecher des US-Heimatschutzministeriums beantwortete die Frage, ob das Ministerium gehackt worden war, nicht. Auch das Justizministerium antwortete nicht auf die Aufforderung.
HPE-Sprecher Adam Bauer sagte, das Unternehmen habe "hart gearbeitet, um die Auswirkungen dieser Eingriffe auf unsere Kunden zu beheben", und fügte hinzu, dass "die Sicherheit der Benutzerdaten unsere oberste Priorität hat".
"Wir bestreiten völlig alle Vorwürfe der Medien, dass HPE nicht mit allem Eifer mit der Regierung zusammengearbeitet habe", sagte Bauer. "Alle diese Anschuldigungen sind eklatante Lügen."
IBM-Sprecher Edward Barbini sagte, das Unternehmen untersuche die Vorfälle mit relevanten Regierungsbehörden und fügte hinzu, dass „wir keine Hinweise auf einen Kompromiss mit sensiblen Unternehmensdaten haben. Wir haben individuell mit allen Kunden zusammengearbeitet, die Bedenken geäußert haben. “
Dieses Hacking zeigt die Sicherheitslücke im Zentrum des globalen Geschäfts - schließlich speichern die größten Unternehmen der Welt immer mehr vertrauliche Informationen über die Kapazitäten von Cloud-Anbietern, die sich seit langem ihrer Sicherheit rühmen.
Viele Firmen, die von den WSJ-Redakteuren kontaktiert wurden, lehnten es ab, offen zu legen, ob sie angegriffen wurden. American Airlines teilte mit, dass sie 2015 eine Benachrichtigung von HPE erhalten haben, dass "ihre Systeme in einen Cybersicherheitsvorfall verwickelt waren" und dass sie "keine Beweise dafür gefunden haben, dass Systeme oder Daten kompromittiert wurden".
Philips sagte, das Unternehmen sei sich der Hacking-Versuche bewusst, die mit den Aktivitäten von APT10 verbunden sein könnten, und dass "heute alle diese Versuche angemessen unterdrückt wurden".
Ein Sprecher der Allianz sagte, das Unternehmen habe "keine Beweise" für das Vorhandensein von APT10 in ihren Systemen gefunden.
GlaxoSmithKline, Deutsche Bank, Rio Tinto und Tieto äußerten sich nicht. CGI hat auf mehrere Anfragen keine Antwort erhalten. Die chinesische Regierung antwortete ebenfalls nicht auf die Anfrage. In der Vergangenheit wurden Hacking-Anklagen bereits abgelehnt.
Geister
Forscher sagen, dass Cloud Hopper die neue Technologie für APT10 (Advanced Persistent Threat, eine der am schwersten fassbaren chinesischen Hacker-Gruppen) geworden ist. „Erinnerst du dich an den alten Witz darüber, warum du eine Bank ausrauben musst? Sagte Anne Newberger, Leiterin der Direktion für Cybersicherheit der National Security Agency. "Weil das Geld da ist."
Sicherheitsrelevante APT10s werden seit mehr als einem Jahrzehnt verfolgt, während letztere Regierungen, Ingenieurbüros, Luft- und Raumfahrtunternehmen und Telekommunikationsunternehmen an den Rand gedrängt haben. Viele Informationen über dieses Team bleiben geheim, obwohl amerikanische Staatsanwälte vorgeschlagen haben, dass mindestens einige seiner Mitglieder für das chinesische Ministerium für innere Sicherheit arbeiten.
Um in Cloud-Dienste einzudringen, schickten Hacker manchmal Phishing-E-Mails an Administratoren mit einem hohen Grad an Zugriff. Manchmal haben sie sie durch Systeme von Vertragspartnern gehackt, sagen Forscher.
Rio Tinto war eines der ersten Ziele und ein Versuchskaninchen, gemessen an den Vorwürfen von zwei Personen, die mit diesem Fall vertraut waren. Das Unternehmen, das sich mit Kupfer, Diamanten, Aluminium, Eisenerz und Uran befasst, wurde bereits 2013 über den Cloud-Anbieter CGI gehackt.
Rio Tinto Mine in Harrow, Kalifornien.Was die Hacker bekommen konnten, ist nicht bekannt, aber einer der mit diesem Fall vertrauten Forscher sagte, dass solche Informationen verwendet werden können, um Immobilien an den Orten zu kaufen, an denen Bergbauunternehmen mit der Entwicklung beginnen wollen.
Orin Palivoda, ein FBI-Spezialagent, der gegen Cloud Hopper ermittelt, sagte kürzlich auf einer Sicherheitskonferenz in New York, das APT10-Team arbeite wie Geister in den Wolken. Sie "sahen im Wesentlichen aus wie der ganze Rest des Verkehrs", sagte er. "Und das ist ein großes, großes Problem."
Chris McConkie, Senior Cybersecurity Researcher bei PricewaterhouseCoopers in London, war einer der ersten, der den Umfang des APT10-Geschäfts erkannte. Während eines routinemäßigen Sicherheitsaudits bei einem internationalen Beratungsunternehmen Anfang 2016 tauchten plötzlich rote Punkte auf den Displays auf, die auf einen Massenangriff hinwiesen.
Zuerst entschied sein Team, dass dieser Angriff nur ein ungewöhnlicher Einzelfall war, da Hacker durch die Cloud und nicht durch das Unternehmen selbst eindrangen. Dann begannen sie jedoch ein ähnliches Muster mit anderen Kunden zu treffen.
"Wenn Sie feststellen, dass es viele solcher Fälle gibt - und die Angreifer wirklich verstehen, worauf sie Zugriff haben und wie sie sie missbrauchen können -, verstehen Sie die Schwere der möglichen Konsequenzen", sagte McConkie. Er nannte keine bestimmten Unternehmen oder Anbieter.
McConkies Team - eine Gruppe schaltete den Zugang zu bösen Jungs ab, die andere sammelte Informationen über Penetrationen und bewertete, wo Hacker noch hingehen könnten - arbeitete auf einem sicheren Boden, auf den nur über separate Aufzüge zugegriffen werden kann.
Chris McConkieSie erfuhren, dass Hacker in Teams arbeiteten. Das Tuesday Team, wie McConkie es nannte, besuchte die Dienste, um sicherzustellen, dass alle gestohlenen Benutzernamen und deren Passwörter noch funktionierten. Eine andere Gruppe erschien oft nach ein paar Tagen und stahl Zieldaten.
Manchmal nutzten Hacker die Netzwerke der Opfer als Speicherorte für gestohlene Daten. Ein Unternehmen stellte anschließend fest, dass es Informationen von mindestens fünf verschiedenen Unternehmen speichert.
In den ersten Monaten der Arbeit begann die McConkie-Gruppe, Informationen mit anderen Sicherheitsfirmen auszutauschen, die ebenfalls auf Geister stießen. Angreifer neckten Jäger manchmal mit der Registrierung von Domain-Namen für ihre Kampagnen wie gostudyantivirus.com und originalspies.com.
"Ich habe nicht nur gesehen, wie chinesische APT-Gruppen Forscher so aggressiv verspotteten", sagte Mike Maclellan, Direktor für Sicherheitsforschung bei Secureworks. Er fügte hinzu, dass APT10 manchmal beleidigende Ausdrücke in seiner Malware enthielt.
Eines der wichtigsten Opfer von Hackern war HPE, dessen Cloud-Dienste für Unternehmensdienste Daten von Tausenden von Unternehmen aus Dutzenden von Ländern bereitstellten. Einer seiner Kunden, Philips, verwaltet 20.000 TB an Daten, darunter riesige Mengen an Informationen zu klinischen Forschern und Anwendungsdaten für Menschen mit Diabetes. Dies geht aus einem Werbevideo hervor, das 2016 auf HPEs Twitter veröffentlicht wurde.
APT10 ist seit mindestens 2014 ein ernstes Problem für HPE - und das Unternehmen gibt Kunden nicht immer Auskunft über den Schweregrad des Problems mit seinen Clouds, so die mit diesem Thema vertrauten Personen.
Serverschrank bei HP Enterprise in Böblingen.Dies wird dadurch verkompliziert, dass Hacker Zugriff auf das Team des Unternehmens erhielten, das für die Meldung von Cyber-Vorfällen verantwortlich ist, wie mehrere mit dem Fall vertraute Personen behaupten. Während HPE an der Bereinigung von Infektionen arbeitete, überwachten Hacker das Unternehmen und betraten die bereinigten Systeme, um einen neuen Zyklus zu starten, wie einer der genannten Personen sagte.
"Wir haben fleißig daran gearbeitet, die Folgen der Invasion zu beseitigen, bis wir überzeugt waren, dass wir die Spuren von Crackern im System vollständig beseitigt haben", sagte Bauer, HPE-Sprecher.
Dabei führte HPE den Cloud-Bereich in ein separates Unternehmen, DXC Technology. HPE berichtete in öffentlichen Aufzeichnungen, dass es zu diesem Zeitpunkt keine Sicherheitslücken gab, die Materialkosten verursachen würden.
DXC-Sprecher Richard Adamonis erklärte: „Es gab keine Cybersicherheitsvorfälle, die sich nachteilig auf die materiellen Vermögenswerte von DXC oder seiner Kunden auswirken würden.“
Ein Philips-Sprecher sagte, dass die von HPE angebotenen Dienste "nicht mit der Speicherung, Verwaltung oder Übertragung von Patientendaten zusammenhängen".
Rebuff
Die ersten wirklich ernsten Reaktionen nahmen 2017 Gestalt an. Ein wachsendes Team von Kämpfern hat sich mehreren Sicherheitsfirmen, von den Angriffen betroffenen Cloud-Anbietern und Dutzenden von Opfern angeschlossen.
Cloud-Unternehmen, die sich zunächst weigerten, Informationen weiterzugeben, änderten ihre Meinung und begannen zu kooperieren, nachdem sie von westlichen Regierungen unter Druck gesetzt wurden, wie mehrere mit der Situation vertraute Personen sagten.
Zunächst fügten die Forscher gefälschte Einträge in die Kalender der Führungskräfte von Unternehmen in Opfersystemen ein, damit Hacker den falschen Eindruck hatten, dass die Führungskräfte über das Wochenende abreisen würden. Dies wurde getan, damit Hacker glaubten, dass das Unternehmen nichts ahnte. Dann stellten die Forscher plötzlich außerhalb der üblichen Arbeit des Hackers eine Verbindung zu den Systemen her und unterbrachen den Zugriff drastisch, indem sie die kompromittierten Konten schlossen und die infizierten Server isolierten.
APT10 kehrte bald zurück und griff neue Opfer an, darunter mehrere Finanzunternehmen.
Eines der neuen Ziele war IBM, das Cloud-Services für viele Fortune 500-Unternehmen sowie für US-Regierungsbehörden wie das General Services Office, das Innenministerium und die Armee anbietet.
IBM-Stand auf der CeBIT 2018 in Hannover.Ein Sprecher des General Service Management sagte, die Agentur arbeite mit mehreren Cloud-Unternehmen zusammen, kenne sich mit Cloud Hopper aus und gehe "wachsam mit Sicherheitsbedrohungen um". Das US-Innenministerium und die US-Armee äußerten sich nicht zur Situation.
Über das, was bei IBM passiert ist, ist sehr wenig bekannt. Hacker haben gelernt, sich besser zu verstecken und ihre Angriffe über Ketten von mehreren Servern umzuleiten. US-Beamte berichteten von Panikgefühlen, die sie in den Jahren 2017 und 2018 ergriffen hatten, als sie von den neuen Hacks erfuhren, die APT10 durchführte. Die Situation wurde so kritisch, dass sie öffentlich warnen mussten, dass Hacker die wichtigsten Infrastrukturen des Landes infiltriert hatten, darunter IT, Energie, Gesundheitswesen und Produktion.
Die Trump-Administration hat mehrere Monate darüber nachgedacht, wie der Fall gegen Hacker aussehen wird, was der Öffentlichkeit gesagt werden kann und wie sich dies auf den Austausch auswirken wird. Ehemalige US-Beamte, die mit der Studie vertraut waren, sagten, sie hätten ursprünglich gehofft, Sanktionen gegen die mit dem Angriff verbundenen Chinesen zu verhängen, und nannten ein halbes Dutzend chinesische Bürger, darunter einige Chinesen, die in direktem Zusammenhang mit dem Geheimdienst des Landes stehen.
Infolgedessen wurden nur zwei Personen benannt. Enge Informanten sagten, dass für eine Operation wie Cloud Hopper so viele Personen wie möglich benötigt würden, darunter Entwickler, Penetrationsbetreiber und Linguisten, um mit gestohlenem Material zu arbeiten.
Von diesen beiden gibt es wenig Informationen über Zhu Hua, online bekannt als Godkiller. Die Forscher verbanden eine andere Person, Zhang Shilong, bekannt als Darling Dragon, mit einem Social-Media-Account, der Anweisungen zum Erlernen des Hackens veröffentlichte.
Beide befinden sich höchstwahrscheinlich noch in China und können wegen Verschwörung, Betrug und Identitätsdiebstahl für bis zu 27 Jahre in einem US-Gefängnis landen. Die Vereinigten Staaten haben jedoch kein Auslieferungsabkommen mit China, und die WSJ-Redakteure konnten sich nicht an sie wenden, um Kommentare zu erhalten.
Ein ehemaliger US-Geheimdienstmitarbeiter sagte, dass die chinesischen Betreiber nach den von ihnen damals erfassten Daten ihren plötzlichen Ruhm und ihre plötzliche Berühmtheit feierten.
Über die Pläne zur Verwendung gestohlener Daten ist heute wenig bekannt. Im Gegensatz zu anderen Angriffen werden im Schatten-Internet keine Anzeigen für den Verkauf dieser Berge wertvoller kommerzieller Daten geschaltet.
Die Cloud Hopper-Angriffe sind nach wie vor sehr an Bundesforschern interessiert, die sich mit der Frage befassen, ob diese Kampagne mit anderen Fällen von erheblichem Eindringen in die Infrastruktur von Unternehmen zusammenhängt, bei denen auch die Chinesen verdächtigt wurden.
Die endgültigen Zahlen der Kampagne - sowohl das Volumen des Zugangs zu Netzwerken als auch die genaue Menge der gestohlenen Daten - sind Forschern oder westlichen Behörden noch nicht bekannt.
Obwohl US-Beamte und Sicherheitsfirmen sagen, dass die APT10-Aktivität im Vergleich zum Vorjahr zurückgegangen ist, bleibt die Bedrohung für Cloud-Anbieter unverändert. Google-Forscher berichteten kürzlich, dass Hacker, die angeblich von der russischen Regierung finanziert wurden, versuchten, Anbieter von Fernsteuerungsdiensten zu hacken, die die Angreifer ebenfalls als Ziel auswählten.
"Ich wäre schockiert zu wissen, dass es heute nicht mehr Dutzende von Unternehmen gibt, die nicht den Verdacht haben, dass APT10 in ihr Netzwerk eingedrungen ist oder immer noch Zugriff darauf hat", sagte Luke Demboski, ehemaliger stellvertretender Generalstaatsanwalt für nationale Sicherheit. Jetzt arbeiten wir mit Unternehmen zusammen, die von verschiedenen Gruppen angegriffen wurden, einschließlich APT10.
„Die Frage ist nur, was machen sie dort? Sagte McConkie. "Sie sind nirgendwo hingegangen." Genau das, was sie gerade tun, sehen wir nicht. "