Symbolbild chinesische Hacker
Sicherheitsforscher warnen vor E-Mails mit Schadsoftware

Trotz Entdeckung: Chinesische Hacker greifen weiterhin Vatikan an

Während der Heilige Stuhl und China über ein neues Abkommen verhandeln, sind kirchliche Institutionen weiterhin im Visier staatsnaher chinesischer Hacker. Obwohl sie schon im Juli entdeckt wurden, versuchen sie weiterhin, den Vatikan zu hacken.

Somerville - 16.09.2020

Der Vatikan und die Diözese Hongkong sind weiterhin Ziel chinesischer Hacker. Laut einem von der US-amerikanischen Cybersicherheits-Firma "Recorded Future" am Montag veröffentlichten Dossier hat die dem chinesischen Staat nahestehende Hackergruppe "RedDelta" ihre Versuche wieder aufgenommen, Daten von kirchlichen Institutionen auszuspähen. Bereits im Juli hatte das Unternehmen entsprechende Erkenntnisse veröffentlicht. Auf die ersten Meldungen folgend waren die Angriffe zunächst eingestellt worden, nach nur zehn Tage aber wie zuvor ausgeführt worden.

"RedDelta zeigte sich weitgehend ungestört durch die ausführliche öffentliche Berichterstattung", heißt es in dem neuen Bericht des Sicherheitsunternehmens. Trotz geringfügiger Änderungen seien Taktik und Vorgehensweisen weitgehend identisch zu den vorherigen Angriffen geblieben. Insbesondere werde weiterhin versucht, Zugriff auf die Mailserver des Vatikan und der Diözese Hongkong zu erlangen.

Schadsoftware in E-Mail-Anhängen versteckt

Nach Einschätzung der Sicherheitsforscher handelt die Gruppe "RedDelta" "in Einklang mit chinesischen strategischen Prioritäten", die Untergrundkirche Chinas zu kontrollieren, die Religionen des Landes zu "sinisieren" und die Einflussmöglichkeiten des Vatikan auf chinesische Katholiken zu minimieren. Im zeitlichen Umfeld von Treffen zwischen Vertretern des Heiligen Stuhls und der Volksrepublik China zu Verhandlungen über die Weiterentwicklung des Abkommens zwischen den beiden Staaten konnte das Unternehmen einen Ausbau der für die Angriffe verwendeten Infrastruktur nachweisen. Nicht bekannt ist, ob die Angriffe Erfolg hatten.

Screenshot aus der Malware-Analyse-App Any Run mit einem der Dokumente.

Viele der verwendeten Dateianhänge sind bereits bekannt. Von Virenscannern verwendete Datenbanken kennen sie schon. (Screenshot aus der Malware-Analyse-App Any Run mit einem der Dokumente.)

Die Hackergruppe versucht über E-Mails mit in angehängten Dokumenten versteckter Schadsoftware Zugriff auf die Systeme ihrer Zielinstitutionen zu erlangen. Dabei verwendet sie Dateinamen und -inhalte, die für die kirchlichen Empfänger relevant erscheinen. Genannt werden Beispiele wie "How Catholics Adapt to Changes in China A Missiological Perspective.zip" und "Catholic Bishops call for urgent Cameroon peace talks.zip".

Nicht nur Vatikan seit Monaten Ziel chinesischer Hacker

Das Sicherheitsunternehmen gibt in seinem Dossier Hinweise, wie sich mögliche Betroffene vor Angriffen schützen können. In einem Anhang veröffentlichen sie dazu von den Hackern verwendete IP-Adressen und Domains, von denen die Angriffe ausgehen. Mit Hilfe der Liste können Firewalls konfiguriert werden, um so den Zugriff auf die derzeit bekannten Server der Hacker zu unterbinden. 

Dasselbe Muster sowie Kommunikation mit den identifizierten Servern der Hackergruppe in China entdeckten die Forscher in Myanmar und bei anderen Institutionen in Hongkong, wo wie bei den kirchlichen Zielen neben "RedDelta" auch die Hackergruppe "Mustang Panda" seit Monaten ähnliche Strategien anwendet, um Daten auszuspähen und Zugriff auf Systeme zu erlangen. "Mustang Panda" soll auch hinter weiteren Angriffen im Juli stecken, die sich neben dem Vatikan auch gegen das China-Zentrum in Sankt Augustin richteten. Im August wurde bekannt, dass es bei einigen Webservern des Vatikans Sicherheitslücken gab. (fxn)