Wer hat die Forschung durchgeführt, die diese Spionagekampagne aufgedeckt hat?

Forscher des Citizen Lab und des International Consortium of Investigative Journalists (ICIJ) haben die Operation aufgedeckt. Das Citizen Lab ist an der Universität Toronto angesiedelt.

Wer waren die Hauptziele dieser Spionagekampagne?

Die Kampagne richtete sich gegen Journalisten, uigurische und tibetische Aktivisten sowie taiwanesische Regierungsbeamte. Diese Gruppen haben einen gemeinsamen Nenner: Chinesische Behörden haben starke politische Motive, sie zu überwachen.

Von China unterstützte Spionagekampagne zielt auf Journalisten und Aktivisten ab

Q: Wie haben die Angreifer ihre Phishing-Operation durchgeführt?

Die Angreifer nutzten KI-generierte Nachrichten, um in großem Maßstab hochgradig überzeugende Phishing-Kommunikation zu erzeugen und Zielpersonen dazu zu bringen, ihre Benutzernamen und Passwörter preiszugeben. Sobald die Anmeldedaten erlangt waren, konnten die Angreifer stillschweigend auf E-Mail-Postfächer zugreifen, Kontaktlisten abschöpfen und sensible Dateien lesen.

Von China staatlich gesponserte Hacker greifen Journalisten und Zivilgesellschaft an

Forscher des Citizen Lab und des International Consortium of Investigative Journalists (ICIJ) haben eine groß angelegte digitale Spionageoperation mit Verbindung zu China aufgedeckt, die systematisch Journalisten, uigurische und tibetische Aktivisten sowie taiwanesische Regierungsbeamte ins Visier nahm. Die Kampagne nutzte mehr als 100 bösartige Domains und KI-generierte Phishing-Nachrichten, die darauf ausgelegt waren, Anmeldedaten zu stehlen und unbefugten Zugriff auf E-Mail-Konten, Dateien und Kontaktlisten zu erlangen.

Das Ausmaß und die Raffinesse dieser Operation stellen sie in die Reihe der bedeutenderen staatlich gesponserten Überwachungskampagnen, die in den letzten Jahren dokumentiert wurden. Sie wirft zudem ernste Fragen über die Verwundbarkeit zivilgesellschaftlicher Gruppen, unabhängiger Medienorganisationen und ethnischer Minderheitengemeinschaften auf, die routinemäßig unter staatlichem Druck operieren.

Wie der Angriff funktionierte

Die Angreifer setzten stark auf Phishing, eine Methode, die Zielpersonen dazu bringt, ihre Benutzernamen und Passwörter preiszugeben, indem vertrauenswürdige Dienste oder Kontakte imitiert werden. Was diese Kampagne besonders bemerkenswert macht, ist der gemeldete Einsatz von KI-generierten Nachrichten, die es Angreifern ermöglichen, in großem Maßstab hochgradig überzeugende, grammatikalisch korrekte Kommunikation zu erzeugen und damit eine der traditionellen Hürden für effektives Phishing zu senken.

Sobald die Anmeldedaten erlangt waren, konnten die Angreifer stillschweigend auf E-Mail-Postfächer zugreifen, Kontaktlisten abschöpfen und sensible Dateien lesen, ohne offensichtliche Warnmeldungen auszulösen. Diese Art von Zugriff ist besonders schädlich für investigative Journalisten, deren Quellenkommunikation und unveröffentlichte Dokumente offengelegt werden können, sowie für Aktivisten, deren Kontaktnetzwerke identifiziert und gefährdet werden könnten.

Die Nutzung von über 100 bösartigen Domains deutet auf eine gut ausgestattete Operation hin. Die Verteilung der Infrastruktur auf viele Domains erschwert es Sicherheitsteams, die Kampagne durch das Sperren einer einzigen Quelle zu unterbinden, und ermöglicht es den Angreifern, schnell zu wechseln, wenn einzelne Domains gemeldet werden.

Wer ins Visier genommen wurde und warum es wichtig ist

Die Ziele dieser Kampagne haben einen gemeinsamen Nenner: Es handelt sich durchweg um Gruppen, die chinesische Behörden starke politische Motive haben zu überwachen. Das ICIJ ist vor allem für die Veröffentlichung bedeutender Finanzrecherchen bekannt, darunter die Panama Papers und die Pandora Papers. Uigurische und tibetische Gemeinschaften sind seit langem digitaler Überwachung ausgesetzt, wobei das Citizen Lab mehrere frühere Kampagnen gegen beide Gruppen dokumentiert hat. Taiwanesische Regierungsbeamte stellen angesichts der anhaltenden Spannungen in der Taiwanstraße ein geopolitisch sensibles Ziel dar.

Dies ist kein Einzelfall. Das Citizen Lab, das an der Universität Toronto angesiedelt ist, hat im Laufe der Jahre Dutzende von Kampagnen dokumentiert, die Dissidenten, Journalisten und Minderheitengruppen mit Bezug zu China ins Visier nahmen. Was dieser jüngste Fall verdeutlicht, ist, dass sich die Methoden weiterentwickeln. Die Einbeziehung von KI-Werkzeugen in Phishing-Operationen legt nahe, dass selbst digital vorsichtige Zielpersonen es möglicherweise schwerer haben werden, bösartige Nachrichten von legitimen zu unterscheiden.

Für zivilgesellschaftliche Organisationen gehen die Auswirkungen über einzelne Konten hinaus. Wenn der Posteingang eines Journalisten kompromittiert wird, können Quellen identifiziert werden. Wenn die Kontaktliste eines Aktivisten abgeschöpft wird, wird ein gesamtes Netzwerk für einen feindlichen staatlichen Akteur sichtbar. Der Schaden ist selten auf die direkt angegriffene Person beschränkt.

Was das für Sie bedeutet

Wenn Sie im Journalismus, Aktivismus oder einem anderen Bereich tätig sind, in dem sensible Kommunikation alltäglich ist, ist diese Kampagne eine klare Erinnerung daran, dass Anmeldedatendiebstahl eines der wirksamsten Werkzeuge ist, das staatlich gesponserten Angreifern zur Verfügung steht. Sie müssen kein hochkarätiges Ziel sein, um in ein breit angelegtes Überwachungsnetz zu geraten.

Mehrere praktische Maßnahmen können Ihr Risiko spürbar verringern:

Verwenden Sie Hardware-Sicherheitsschlüssel oder App-basierte Zwei-Faktor-Authentifizierung. Phishing-Angriffe, die Passwörter stehlen, sind weitaus weniger wirksam, wenn für einen erfolgreichen Login ein zweiter Faktor erforderlich ist. Hardware-Schlüssel sind besonders widerstandsfähig gegenüber Phishing.
Seien Sie skeptisch gegenüber unerwarteten Anmeldeaufforderungen. KI-generierte Phishing-Nachrichten können überzeugend wirken, aber die Aufforderung selbst – Sie zur Überprüfung Ihrer Anmeldedaten oder zur Anmeldung über einen unbekannten Link aufzufordern – ist das eigentliche Warnsignal.
Verwenden Sie verschlüsselte Kommunikationstools für sensible Gespräche. E-Mail ist von Natur aus schwer zu sichern. Ende-zu-Ende-verschlüsselte Messaging-Anwendungen bieten einen deutlich stärkeren Schutz für Quellenkommunikation und sensible Koordination.
Überprüfen Sie Ihren Kontozugriff regelmäßig. Kontrollieren Sie, welche Geräte und Anwendungen Zugriff auf Ihre E-Mails und Ihren Cloud-Speicher haben. Entziehen Sie allem Unbekannten den Zugriff.
Erwägen Sie die Nutzung eines VPN, wenn Sie über öffentliche oder nicht vertrauenswürdige Netzwerke auf sensible Konten zugreifen. Ein VPN verhindert zwar kein Phishing, schützt Ihren Datenverkehr jedoch vor Abfangen auf Netzwerkebene, was wichtig ist, wenn Ihr Bedrohungsmodell staatliche Akteure einschließt.

Staatlich gesponserte Phishing-Kampagnen wie diese sind darauf ausgelegt, unsichtbar zu bleiben. Anmeldedaten werden gestohlen, der Zugriff wird still aufrechterhalten, und Betroffene haben oft keine Ahnung, dass sie kompromittiert wurden, bis bereits erheblicher Schaden entstanden ist. Zu verstehen, wie diese Operationen funktionieren, ist der erste Schritt zum Schutz von sich selbst und dem eigenen Netzwerk.

Für Journalisten, Aktivisten und alle, deren Arbeit sie ins Visier eines entschlossenen Gegners bringt, ist digitale Sicherheit kein technisches Nachgedanke. Sie ist ein zentraler Bestandteil sicheren Handelns. Ihre Authentifizierungspraktiken und Kommunikationsgewohnheiten jetzt zu überprüfen – bevor ein Vorfall eintritt – ist die wirksamste verfügbare Verteidigung.

Von China staatlich gesponserte Hacker greifen Journalisten und Zivilgesellschaft an

Wie der Angriff funktionierte

Wer ins Visier genommen wurde und warum es wichtig ist

Was das für Sie bedeutet

// FAQ

// Verwandt