Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.
Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.
Die Angriffswelle
Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.
Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.
Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.
Die Anklage
Die Tätergruppe wurde in IT-Sicherheitskreisen als Hafnium bekannt. Bereits 2021 machten die USA, die Europäische Union und andere damals verbündete die Volksrepublik China als Drahtzieher aus. Peking stellte die Vorwürfe in Abrede.
Juristisch enthält die Anklage neun Anklagepunkte. Vorgeworfen werden absichtliche Beschädigung geschützter Computer, Erlangung von Information durch nicht autorisierten Zugriff auf geschützte Computer, schwere Identitätsanmaßung, Betrug unter Verwendung von Telekommunikation, sowie jeweils Verschwörung dazu. Verschwörungen sind leichter nachzuweisen, weil es dabei nicht darauf ankommt, welches Mitglied einer Tätergruppe tatsächlich welchen Aspekt des Tatbildes verwirklicht oder zu verantworten hat. Entscheidend ist lediglich die rechtswidrige Mitwirkung.
Das Verfahren ist am US-Bundesbezirksgericht für das südliche Texas unter dem Az. 4:23-cr-00523 anhängig.
(ds)