Wie China Uni-Absolventen dazu gebracht hat, digitale Spione zu werden
Die Financial Times hat 140 potenzielle Übersetzer:innen identifiziert und kontaktiert, meist junge Hochschulabsolvent:innen, die Englisch an öffentlichen Universitäten in Hainan, Sichuan und Xi’an studiert haben. Die Kandidat:innen hatten sich auf Stellenanzeigen von Hainan Xiandun beworben, einer Firma mit Sitz auf der tropischen Südinsel Hainan. Im Bewerbungstest sollten sie sensible Dokumente von US-Regierungsbehörden übersetzen und Zielpersonen an der Johns Hopkins University ausspionieren.
Scheinfirma Hainan Xiandun als Deckmantel für die Hackergruppe APT40
In einer Anklageschrift aus dem Jahr 2021 wird Hainan Xiandun vorgeworfen, ein Deckmantel der chinesischen Hackergruppe APT40 gewesen zu sein. Westliche Geheimdienste werfen APT40 vor, auf Befehl des chinesischen Ministeriums für Staatssicherheit (MSS) Regierungsbehörden, Unternehmen und Universitäten in den USA, Kanada, Europa und dem Nahen Osten infiltriert zu haben. Die chinesischen Uni-Absolvent:innen, die von Hainan Xiandun ins Visier genommen wurden, scheinen jedoch unwissentlich in die digitale Spionage hineingezogen worden zu sein.
Stellenanzeigen des Unternehmens wurden auf Universität-Websites für Übersetzer:innen veröffentlicht, ohne dass die Art der Arbeit näher beschrieben wurde. Eine Stellenanzeige, die auf der Website der Fremdsprachenabteilung der Universität online war, rief zur Bewerbung von englischsprachigen Studentinnen und Mitgliedern der Kommunistischen Partei auf. Die Anzeige ist nach den Anfragen der Financial Times jedoch gelöscht worden.
Einige Bewerber:innen wollten reden, andere nicht
Die Financial Times kontaktierte alle 140 Personen auf einer geleakten Kandidatenliste, die von Sicherheitsbeamten in der Region zusammengestellt wurde, um die Echtheit der Bewerbungen zu beweisen. Mehrere Kontaktpersonen bestätigten zunächst ihre Identität, beendeten die Telefonate jedoch, nachdem sie nach ihren Verbindungen zu Hainan Xiandun gefragt worden waren. Einige sprachen über ihre Erfahrungen.
Zhang, ein Absolvent der englischen Sprache, der sich bei Hainan Xiandun beworben hatte, sagte der Zeitung, dass ein Personalvermittler ihn gebeten habe, das Johns Hopkins Applied Physics Laboratory zu durchforsten, und nach Lebensläufen des Vorstands sowie Forschungsverträgen zu suchen, die das Institut mit Kund:innen geschlossen hatte. „Es war ganz klar, dass dies kein Übersetzungsunternehmen war“, sagte Zhang, der sich dagegen entschied, seine Bewerbung fortzusetzen.
APT40 braucht ein riesiges Netzwerk an Mitarbeiter:innen
Um Hacking in dem Ausmaß zu betreiben, wie es das APT40 tut, ist eine riesige Belegschaft an englischsprachigen Personen nötig, die helfen kann, Hacking-Ziele zu identifizieren. Außerdem werden Cyber-Techniker:innen benötigt, die auf die Systeme der Gegner:innen zugreifen können, sowie Geheimdienstmitarbeiter:innen, die das gestohlene Material analysieren.
Dakota Cary, eine Expertin für chinesische Cyberspionage und ehemalige Sicherheitsanalystin an der Georgetown University, sagte: „Die Tatsache, dass diese Student:innen ein VPN verwenden müssen, um ihre eigenen Nachforschungen zu betreiben und gute Sprachkenntnisse benötigen, sagt mir, dass sie Hacking-Ziele identifizieren sollen.“ Ein Sicherheitsbeamter in der Region erklärte, dass die Enthüllungen ein Beweis dafür waren, dass die MSS Universitätsstudent:innen als „Rekrutierungspipeline“ für ihre Spionageaktivitäten verwende.
Vorwürfe von US-Außenminister Blinken
US-Außenminister Antony Blinken beschuldigte die MSS, ein „Ökosystem krimineller Vertragshacker:innen“ aufgebaut zu haben, die sich sowohl an staatlich geförderten Aktivitäten als auch an finanziell motivierter Cyberkriminalität beteiligen. Blinken sagte außerdem, dass diese Hackergruppen Regierungen und Unternehmen „Milliarden von Dollar“ an gestohlenem geistigem Eigentum, Lösegeldzahlungen und Cyberabwehr kosten.
„Die MSS macht alles informell und mag Grauzonen“
Adam Kozy, ein ehemaliger FBI-Beamter, der zuletzt bei der Cybersicherheitsfirma CrowdStrike arbeitete, sagte, er habe noch nie davon gehört, dass westliche Geheimdienste Universitätsstudent:innen anwerben, ohne dass ihnen eine Sicherheitsfreigabe zum Sammeln von Informationen erteilt wurde.
„Die MSS macht alles informell und mag Grauzonen“, sagte er. „Es ist interessant zu sehen, dass sie sich auf eine junge studentische Belegschaft verlassen, um einen Großteil der Drecksarbeit zu erledigen.“ Genau diese Student:innen seien es später auch, die mit den Konsequenzen einer solchen Einstellung leben müssen. Die potenziellen Risiken würden ihnen höchstwahrscheinlich nicht vollständig erklärt.
Laut der Anklageschrift des FBI „koordinierten sich MSS-Beamte mit Mitarbeiter:innen und Professor:innen an Universitäten in Hainan und anderswo in China“. Das Personal einer in Hainan ansässigen Universität soll auch dabei, geholfen haben, Hainan Xianduns Identität als Scheinfirma zu wahren – auch mit Hilfe von Gehaltsabrechnungen, Sozialleistungen und einer Postanschrift.