Laut drei Quellen, Cybersicherheitsforschungsberichten und Reuters‘ eigener Analyse technischer Daten im Zusammenhang mit den Hackerangriffen haben chinesische Hacker die kenianische Regierung im Rahmen einer groß angelegten, jahrelangen Serie digitaler Angriffe auf wichtige Ministerien und staatliche Institutionen ins Visier genommen.
Zwei der Quellen gingen davon aus, dass die Hacks zumindest teilweise darauf abzielten, Informationen über die Schulden des ostafrikanischen Landes gegenüber Peking zu erhalten: Kenia ist ein strategisches Bindeglied in der „Belt and Road“-Initiative – dem Plan von Präsident Xi Jinping für eine globale Infrastruktur Netzwerk.
„Weitere Kompromisse können auftreten, da die Notwendigkeit, zukünftige Rückzahlungsstrategien zu verstehen, notwendig wird“, heißt es in einem Forschungsbericht vom Juli 2021, der von einem Verteidigungsunternehmen für Privatkunden verfasst wurde.
Das chinesische Außenministerium sagte, es wisse „keine Kenntnis“ von solchen Hackerangriffen, während die chinesische Botschaft in Großbritannien die Anschuldigungen als „haltlos“ bezeichnete und hinzufügte, dass Peking „Cyberangriffe und Diebstahl in all ihren Formen“ ablehnt und bekämpft.
Chinas Einfluss in Afrika ist in den letzten zwei Jahrzehnten rapide gewachsen. Aber wie bei mehreren afrikanischen Ländern werden auch Kenias Finanzen durch die steigenden Kosten für die Bedienung von Auslandsschulden belastet – ein Großteil davon ist China zu verdanken.
Die Hacking-Kampagne zeige die Bereitschaft Chinas, seine Spionagefähigkeiten zu nutzen, um wirtschaftliche und strategische Interessen im Ausland zu überwachen und zu schützen, sagten zwei der Quellen.
Laut einem Geheimdienstanalysten in der Region handelt es sich bei den Hacks um eine dreijährige Kampagne, die auf acht Ministerien und Regierungsstellen Kenias abzielte, darunter auch auf das Präsidialamt. Der Analyst teilte Reuters außerdem Forschungsdokumente mit, die den Zeitplan der Angriffe und die Ziele enthielten, und lieferte einige technische Daten im Zusammenhang mit der Kompromittierung eines Servers, der ausschließlich von Kenias wichtigstem Spionagedienst genutzt wird.
Ein kenianischer Cybersicherheitsexperte beschrieb ähnliche Hacking-Aktivitäten gegen das Außen- und das Finanzministerium. Alle drei Quellen baten darum, wegen der Sensibilität ihrer Arbeit nicht namentlich genannt zu werden.
„Ihre Behauptung über Hacking-Versuche durch chinesische Regierungsstellen ist nicht einzigartig“, sagte das kenianische Präsidialamt und fügte hinzu, die Regierung sei „häufigen Infiltrationsversuchen“ chinesischer, amerikanischer und europäischer Hacker ausgesetzt gewesen.
„Aus unserer Sicht war keiner der Versuche erfolgreich“, hieß es.
Es wurden weder weitere Einzelheiten bekannt gegeben noch auf Folgefragen geantwortet.
Ein Sprecher der chinesischen Botschaft in Großbritannien sagte, China sei gegen „unverantwortliche Schritte, die Themen wie Cybersicherheit nutzen, um Zwietracht in den Beziehungen zwischen China und anderen Entwicklungsländern zu säen“.
„China misst dem Schuldenproblem Afrikas große Bedeutung bei und arbeitet intensiv daran, Afrika bei der Bewältigung dieses Problems zu helfen“, fügte der Sprecher hinzu.
Die Hacks
Zwischen 2000 und 2020 hat China Kredite in Höhe von fast 160 Milliarden US-Dollar an afrikanische Länder vergeben, wie aus einer umfassenden Datenbank über chinesische Kredite der Boston University hervorgeht, ein Großteil davon für große Infrastrukturprojekte.
Kenia nutzte über 9 Milliarden US-Dollar an chinesischen Krediten, um einen aggressiven Vorstoß zum Bau oder Ausbau von Eisenbahnen, Häfen und Autobahnen zu finanzieren.
Peking wurde zum größten bilateralen Gläubiger des Landes und erlangte einen festen Stand im wichtigsten ostafrikanischen Verbrauchermarkt und zu einem wichtigen Logistikknotenpunkt an der afrikanischen Küste des Indischen Ozeans.
Als der kenianische Cybersicherheitsexperte Reuters jedoch Ende 2019 mitteilte, dass er von den kenianischen Behörden hinzugezogen worden sei, um einen Hackerangriff auf ein regierungsweites Netzwerk zu beurteilen, versiegte die chinesische Kreditvergabe. Und Kenias finanzielle Schwierigkeiten waren sichtbar.
Der vom kenianischen Cybersicherheitsexperten untersuchte und China zugeschriebene Verstoß begann mit einem „Spearphishing“-Angriff Ende desselben Jahres, als ein kenianischer Regierungsmitarbeiter unwissentlich ein infiziertes Dokument herunterlud, wodurch Hacker in das Netzwerk eindringen und auf andere Behörden zugreifen konnten.
„Viele Dokumente des Außenministeriums und auch der Finanzabteilung wurden gestohlen. „Die Angriffe konzentrierten sich offenbar auf die Schuldensituation“, sagte der kenianische Cybersicherheitsexperte.
Eine andere Quelle – der in der Region tätige Geheimdienstanalyst – sagte, chinesische Hacker hätten eine weitreichende Kampagne gegen Kenia durchgeführt, die Ende 2019 begann und mindestens bis 2022 andauerte.
Den vom Analysten bereitgestellten Dokumenten zufolge haben chinesische Cyberspione das Büro des kenianischen Präsidenten, seine Verteidigungs-, Informations-, Gesundheits-, Land- und Innenministerien, sein Zentrum zur Terrorismusbekämpfung und andere Institutionen anhaltenden und anhaltenden Hackerangriffen ausgesetzt.
Die betroffenen Regierungsstellen antworteten nicht auf Anfragen nach Kommentaren, lehnten Interviews ab oder waren nicht erreichbar.
Im Jahr 2021 hatten die weltweiten wirtschaftlichen Folgen der COVID-19-Pandemie bereits dazu beigetragen, dass ein großer chinesischer Kreditnehmer – Sambia – seine Auslandsschulden nicht mehr bedienen konnte. Kenia gelang es, ein vorübergehendes Schuldentilgungsmoratorium von China zu erwirken.
Anfang Juli 2021 wurde in den vom Geheimdienstanalysten in der Region veröffentlichten Forschungsberichten zur Cybersicherheit detailliert beschrieben, wie die Hacker heimlich auf einen E-Mail-Server zugegriffen haben, der vom kenianischen National Intelligence Service (NIS) genutzt wird.
Reuters konnte bestätigen, dass die IP-Adresse des Opfers zum NIS gehörte. Der Vorfall wurde auch in einem von Reuters überprüften Bericht des privaten Verteidigungsunternehmens behandelt.
Reuters konnte weder feststellen, welche Informationen während der Hacks erfasst wurden, noch das Motiv für die Angriffe schlüssig klären. Im Bericht des Verteidigungsunternehmens heißt es jedoch, dass der NIS-Verstoß möglicherweise darauf abzielte, Informationen darüber zu sammeln, wie Kenia seine Schuldenzahlungen verwalten wollte.
„Kenia spürt derzeit den Druck dieser Schuldenlast … da viele der durch chinesische Kredite finanzierten Projekte noch nicht genug Einnahmen erwirtschaften, um sich selbst zu finanzieren“, heißt es in dem Bericht.
Eine Reuters-Überprüfung von Internetprotokollen, die die digitalen Spionageaktivitäten Chinas beschreiben, ergab, dass ein von den chinesischen Hackern kontrollierter Server kürzlich von Dezember 2022 bis Februar dieses Jahres auch auf einen gemeinsamen Webmail-Dienst der kenianischen Regierung zugegriffen hat.
Chinesische Beamte lehnten es ab, sich zu diesem jüngsten Verstoß zu äußern, und die kenianischen Behörden antworteten nicht auf eine Frage dazu.
„Hintertürdiplomatie“
Der Verteidigungsunternehmer verwies auf identische Tools und Techniken, die auch bei anderen Hacking-Kampagnen zum Einsatz kamen, und identifizierte ein mit dem chinesischen Staat verbundenes Hackerteam als Verantwortlichen für den Angriff auf den kenianischen Geheimdienst.
Die Gruppe ist in der Cybersicherheitsforschungsgemeinschaft als „BackdoorDiplomacy“ bekannt, da sie bereits versucht hat, die Ziele der chinesischen diplomatischen Strategie voranzutreiben.
Nach Angaben des in der Slowakei ansässigen Cybersicherheitsunternehmens ESET setzt BackdoorDiplomacy erneut Schadsoftware gegen seine Opfer ein, um Zugang zu deren Netzwerken zu erhalten und so deren Aktivitäten zu verfolgen.
Von Reuters mit der IP-Adresse der NIS-Hacker versorgt, bestätigte Palo Alto Networks, ein US-amerikanisches Cybersicherheitsunternehmen, das die Aktivitäten von BackdoorDiplomacy verfolgt, dass es zu der Gruppe gehört, und fügte hinzu, dass seine vorherige Analyse zeigt, dass die Gruppe vom chinesischen Staat gesponsert wird.
Cybersicherheitsforscher haben BackdoorDiplomacy-Hacks dokumentiert, die auf Regierungen und Institutionen in einer Reihe von Ländern in Asien und Europa abzielen.
Vorfälle im Nahen Osten und in Afrika scheinen seltener zu sein, was den Schwerpunkt und das Ausmaß seiner Hacking-Aktivitäten in Kenia besonders bemerkenswert macht, heißt es in dem Bericht des Rüstungsunternehmens.
„Dieser Aspekt hat eindeutig Priorität für die Gruppe.“
Die chinesische Botschaft in Großbritannien lehnte jede Beteiligung an den Hackerangriffen in Kenia ab und ging nicht direkt auf Fragen zur Beziehung der Regierung zu BackdoorDiplomacy ein.
„China ist ein Hauptopfer von Cyberdiebstählen und -angriffen und ein überzeugter Verfechter der Cybersicherheit“, sagte ein Sprecher.