Ungefähr zu der Zeit, als das FBI die Ausrüstung untersuchte, die aus dem im Februar vor der Küste von South Carolina abgeschossenen chinesischen Spionageballon geborgen worden war, entdeckten amerikanische Geheimdienste und Microsoft einen ihrer Meinung nach noch besorgniserregenderen Eindringling: mysteriösen Computercode, der in Telekommunikationssystemen in Guam auftauchte und anderswo in den Vereinigten Staaten.
Der Code, der laut Microsoft von einer Hackergruppe der chinesischen Regierung installiert wurde, löste Alarm aus, da Guam mit seinen pazifischen Häfen und dem riesigen amerikanischen Luftwaffenstützpunkt das Herzstück jeder amerikanischen militärischen Reaktion auf eine Invasion oder Blockade Taiwans sein würde. Der Vorgang wurde mit größter Heimlichkeit durchgeführt, manchmal über Heim-Router und andere gängige, mit dem Internet verbundene Verbrauchergeräte, um die Verfolgung des Einbruchs zu erschweren.
Der Code wird als „Web-Shell“ bezeichnet, in diesem Fall ein bösartiges Skript, das den Fernzugriff auf einen Server ermöglicht. Heimrouter sind besonders anfällig, insbesondere ältere Modelle, die nicht über aktualisierte Software und Schutzmaßnahmen verfügen.
Anders als der Ballon, der die Amerikaner faszinierte, als er Pirouetten über sensiblen Atomanlagen drehte, konnte der Computercode nicht live im Fernsehen abgeschossen werden. Stattdessen veröffentlichte Microsoft am Mittwoch Details des Codes, die es Unternehmensbenutzern, Herstellern und anderen ermöglichen würden, ihn zu erkennen und zu entfernen. In einer koordinierten Veröffentlichung veröffentlichte die National Security Agency – zusammen mit anderen inländischen Behörden und ihren Cyber-Pendants in Australien, Großbritannien, Neuseeland und Kanada – eine 24-seitige Empfehlung, die sich auf die Erkenntnisse von Microsoft bezog und umfassendere Warnungen vor einem „kürzlich entdeckten Cluster“ enthielt Aktivität“ aus China.
Microsoft nannte die Hackergruppe „Volt Typhoon“ und sagte, sie sei Teil einer staatlich geförderten chinesischen Initiative, die nicht nur auf kritische Infrastrukturen wie Kommunikations-, Strom- und Gasversorgungsunternehmen, sondern auch auf Seebetriebe und Transport abziele. Die Einbrüche schienen vorerst eine Spionagekampagne zu sein. Aber die Chinesen könnten den Code, der dazu gedacht ist, Firewalls zu durchdringen, nutzen, um zerstörerische Angriffe zu ermöglichen, wenn sie wollen.
Bisher gebe es laut Microsoft keine Hinweise darauf, dass der chinesische Konzern den Zugang für offensive Angriffe genutzt habe. Im Gegensatz zu russischen Gruppen priorisieren chinesische Geheimdienst- und Militärhacker normalerweise Spionage.
In Interviews sagten Regierungsbeamte, sie glaubten, der Code sei Teil einer umfangreichen chinesischen Geheimdienstkollektion, die den Cyberspace, den Weltraum und, wie die Amerikaner bei dem Ballonunfall herausfanden, die untere Atmosphäre umfasste.
Die Biden-Regierung hat es abgelehnt, darüber zu sprechen, was das FBI bei der Untersuchung der aus dem Ballon geborgenen Ausrüstung gefunden hat. Doch das Fluggerät – besser beschrieben als riesiges Luftfahrzeug – verfügte offenbar über spezielle Radar- und Kommunikationsabhörgeräte, die das FBI seit dem Abschuss des Ballons untersucht.
Es ist unklar, ob das Schweigen der Regierung zu den Erkenntnissen aus dem Ballon durch den Wunsch motiviert ist, die chinesische Regierung davon abzuhalten, zu erfahren, was die Vereinigten Staaten erfahren haben, oder ob der diplomatische Bruch, der auf den Einfall folgte, überwunden werden soll.
Am Sonntag verwies Präsident Biden auf einer Pressekonferenz in Hiroshima, Japan, darauf, wie der Ballonvorfall den ohnehin schon frostigen Austausch zwischen Washington und Peking lahmgelegt habe.
„Und dann flog dieser alberne Ballon, der Spionageausrüstung im Wert von zwei Güterwagen an Bord hatte, über die Vereinigten Staaten“, sagte er Reportern, „und er wurde abgeschossen, und alles änderte sich in Bezug auf die Gespräche miteinander.“
Er sagte voraus, dass die Beziehungen „sehr bald beginnen würden, aufzutauen“.
China hat das Hacken in amerikanische Netzwerke nie zugegeben, nicht einmal im größten Beispiel von allen: dem Diebstahl von Sicherheitsfreigabedateien von etwa 22 Millionen Amerikanern – darunter sechs Millionen Sätze Fingerabdrücke – aus dem Office of Personnel Management während der Obama-Regierung. Diese Datenexfiltration dauerte fast ein Jahr und führte zu einer Vereinbarung zwischen Präsident Barack Obama und Präsident Xi Jinping, die zu einem kurzen Rückgang böswilliger chinesischer Cyberaktivitäten führte.
Am Mittwoch sandte China eine Warnung an seine Unternehmen, sich vor amerikanischen Hackerangriffen zu hüten. Und davon gab es auch jede Menge: In von Edward Snowden, dem ehemaligen NSA-Auftragnehmer, veröffentlichten Dokumenten gab es Hinweise auf amerikanische Bemühungen, sich in die Systeme von Huawei, dem chinesischen Telekommunikationsgiganten, sowie in Ziele des Militärs und der Führung zu hacken.
Telekommunikationsnetze sind wichtige Ziele für Hacker, und das System in Guam ist für China besonders wichtig, da die militärische Kommunikation oft auf kommerziellen Netzwerken basiert.
Tom Burt, der Manager, der die Threat-Intelligence-Abteilung von Microsoft leitet, sagte in einem Interview, dass die Analysten des Unternehmens – viele von ihnen Veteranen der National Security Agency und anderer Geheimdienste – den Code „bei der Untersuchung von Einbruchsaktivitäten in einem US-Hafen“ gefunden hätten. Als sie den Einbruch zurückverfolgten, fanden sie andere Netzwerke, die betroffen waren, „darunter einige im Telekommunikationssektor in Guam“.
Microsoft hat am Mittwoch einen Blogbeitrag mit detaillierten Hinweisen zum Code veröffentlicht, um den Betreibern kritischer Infrastrukturen präventive Maßnahmen zu ermöglichen.
In einer koordinierten Ankündigung veröffentlichte die NSA einen technischen Bericht über chinesische Eingriffe in weite Teile der amerikanischen kritischen Infrastruktur. Es wurde nicht erwartet, dass sich der US-Bericht direkt auf den von Microsoft gemeldeten Vorfall in Guam bezieht, sondern er beschreibt ein breiteres Spektrum chinesischer Bedrohungen.
Die Biden-Regierung kämpft darum, neu geschaffene Mindeststandards für die Cybersicherheit für kritische Infrastrukturen durchzusetzen. Nach einem russischen Ransomware-Angriff auf die Colonial Pipeline im Jahr 2021, der zu einer Unterbrechung des Benzin-, Diesel- und Flugzeugtreibstoffflusses an der Ostküste führte, nutzte die Regierung die Behörden der Transportation Security Administration – die Pipelines reguliert –, um private Versorgungsunternehmen zu zwingen eine Reihe von Cybersicherheitsmandaten zu befolgen.
Ein ähnlicher Prozess läuft derzeit für Wasserversorgungsanlagen, Flughäfen und bald auch Krankenhäuser, die allesamt in jüngster Zeit von Hackern ins Visier genommen wurden.
Der Bericht der National Security Agency ist Teil eines relativ neuen Vorstoßes der US-Regierung, solche Daten schnell zu veröffentlichen, in der Hoffnung, die chinesischen Operationen zum Scheitern zu bringen. In den vergangenen Jahren haben die Vereinigten Staaten solche Informationen normalerweise zurückgehalten – manchmal auch geheim gehalten – und sie nur an einige wenige Unternehmen oder Organisationen weitergegeben. Aber das stellte fast immer sicher, dass die Hacker der Regierung weit voraus sein konnten.
In diesem Fall war es der Fokus auf Guam, der vor allem die Aufmerksamkeit von Beamten auf sich zog, die Chinas Fähigkeiten – und seine Bereitschaft –, Taiwan anzugreifen oder abzuwürgen, einschätzen. Herr Xi hat befohlen, dass die Volksbefreiungsarmee bis 2027 in der Lage sein soll, die Insel einzunehmen. Aber der CIA-Direktor William J. Burns hat gegenüber dem Kongress darauf hingewiesen, dass der Befehl „nicht bedeutet, dass er beschlossen hat, eine Invasion durchzuführen“.
Bei den Dutzenden von US-amerikanischen Tischübungen, die in den letzten Jahren durchgeführt wurden, um zu planen, wie ein solcher Angriff aussehen könnte, wäre einer der ersten erwarteten Schritte Chinas die Unterbrechung der amerikanischen Kommunikation und die Verlangsamung der Reaktionsfähigkeit der Vereinigten Staaten. Die Übungen sehen daher Angriffe auf Satelliten- und Bodenkommunikation vor, insbesondere in der Nähe amerikanischer Einrichtungen, in denen militärische Mittel mobilisiert werden.
Keines ist größer als Guam, wo die Andersen Air Force Base der Startpunkt für viele Luftwaffenmissionen zur Verteidigung der Insel sein würde und ein Marinehafen für amerikanische U-Boote von entscheidender Bedeutung ist.