New-York-Times-Hack Chinas Attacke auf die Ahnungslosen - ZEIT ONLINE

Die "New York Times" ist von Hackern aus China ausspioniert worden. Möglicherweise hat ein Bericht Pekings Machtwechsel 2012 empfindlich gestört.

© Landov/dpa

Das Gebäude der "New York Times"

Reichlich verstimmt dürften einige Topkader in Peking gewesen sein, als die New York Times vergangenes Jahr einfach die Vermögensverhältnisse von ihresgleichen freilegte. Im Oktober hatte der Shanghaier Times-Bürochef David Barboza über den immensen Reichtum der Familie des seinerzeitigen Noch-Premier Wen Jiabao berichtet — immerhin die Nr. 2 im Staat.

Am spektakulärsten waren mit Sicherheit der Fall über die Verwandten Wen Jiabaos und zuvor am 29. Juni bei Bloomberg jene über die Vermögen der Familie von Xi Jinping, damals noch Vizepräsident, heute Parteichef und damit die Nr. 1 in China. Daher ist es wahrscheinlich kein Zufall, dass chinesische Hacker Rechner der New York Times infiltriert haben und zuvor auch die Rechner von Bloomberg-Mitarbeitern. Die Times hat nun einen recht offenen Bericht über die Rechner-Attacken der vergangenen Monate veröffentlicht. Dass diese Hacks politisch motiviert waren, zeigt die Tatsache, dass laut Times nur nach Informationen im Zusammenhang mit dem Wen-Bericht gesucht wurde, Nutzerdaten seien nicht abgezogen worden.

Begonnen habe der Rechnerangriff laut New York Times bereits Mitte September, also rund sechs Wochen vor der Veröffentlichung des Artikels. Auftragshacker hätten zu diesem Zeitpunkt Schadsoftware auf den Computern von mehreren Redakteuren platziert und diese ausspioniert. Wie sie das genau geschafft hatten, ist noch nicht bekannt.

Zwei Wochen ungestört im Netzwerk der Zeitung

Wahrscheinlich hätten sie eine Methode angewandt, heißt es im Artikel der Times, die man als spear phishing bezeichnet: Einzelne Redakteure haben offenbar E-Mails bekommen, die sehr genau auf ihre Interessen zugeschnitten waren. In den Anhängen dieser E-Mails war Schadsoftware versteckt. Über sie wurde wiederum Spähsoftware nachgeladen, die von Screenshots bis zu Tastatureingaben so ziemlich alles aufnehmen und zum Server der Angreifer schicken kann.

Mithilfe der Spähsoftware richteten sich die Angreifer mehrere Hintertüren zu den Computern der Redakteure ein. Die abgefangenen Passwörter und andere Hinweise reichten aus, um sich zwei Wochen lang im Netzwerk der Zeitung umzusehen. Dabei entdeckten die Angreifer den sogenannten Domain Controller, das ist der zentrale Rechner, über den sich alle Mitarbeiter eines Firmennetzes anmelden.

Der Domain Controller enthält die Benutzernamen und die zugehörigen Passwörter, Letztere in Form einer Prüfsumme, auch Hash-Wert genannt. Über Massenabfragen könne solche Hashes wieder entschlüsselt werden, sodass die Passwörter im Klartext vorlagen. Um diese Angriffe zu verschleiern, nutzten die Hacker kompromittierte Server mehrerer US-Universitäten. Dieses Vorgehen kennen Sicherheitsspezialisten schon von früheren Hacks, die sie einer chinesischen Gruppe mit Verbindungen zum Militär zuschreiben.

Antivirussoftware hatte nur ein Spionageprogramm entdeckt

Auf diesem Wege bekamen die Angreifer Zugang zu 53 Computern von Times-Angestellten. Für die Rechner des Bürochefs in Shanghai und den des Südostasien-Bürochefs schrieben sie spezielle Spionagesoftware, um den E-Mail-Verkehr der beiden mitlesen zu können. So wollten die Angreifer offenbar herausfinden, wer die Quellen für den Wen-Bericht waren. Insgesamt wurden 45 solcher Programme auf den Computern der Times gefunden, die hauseigene Antivirussoftware der Firma Symantec hatte davon nur eines entdeckt.

Die Zeitung bekam von dem Ganzen deshalb zunächst nichts mit. Erst, als sie von chinesischen Regierungsbeamten erfuhr, dass ihre Recherche zu den Reichtümern der Familie von Wen "Konsequenzen haben" würde, reagierte sie: Am Tag vor der Veröffentlichung des Artikels bat die Times ihren Provider AT&T, nach ungewöhnlichen Aktivitäten im Netzwerk der Zeitung zu suchen.