Google zerschlägt CCP-verknüpfte Hacker, die 53 Ziele weltweit angriffen

Google gab bekannt, dass es erfolgreich ein Hackernetzwerk zerschlagen hat, das als UNC2814 oder „Gallium" identifiziert und als mit der Kommunistischen Partei Chinas (KPCh) verbunden gilt. Dieses Netzwerk hatte mindestens 53 Einrichtungen in 42 Ländern infiltriert. Die Hacker hatten Zugang zu Systemen mit sensiblen personenbezogenen Daten erlangt, darunter vollständige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, Wähler-ID-Nummern und nationale Ausweisnummern. Google und seine Partner ergriffen technische Maßnahmen, um die Operation zu zerschlagen, die durchgeführt worden war

Google zerschlägt CCP-verknüpfte Hacker, die 53 Ziele weltweit angriffen

Google hat erfolgreich ein staatlich gefördertes Hackernetzwerk mit Verbindungen zur Kommunistischen Partei Chinas zerschlagen, das in Cybersicherheitskreisen als UNC2814 oder „Gallium" bekannt ist. Die Gruppe hatte unbemerkt mindestens 53 Organisationen in 42 Ländern infiltriert und sensible personenbezogene Daten abgeschöpft, darunter vollständige Namen, Telefonnummern, Geburtsdaten, Geburtsorte, Wähler-ID-Nummern und nationale Ausweisnummern. Die Operation lief über ein Jahrzehnt, bevor Google und seine Partner eingriffen.

Dies ist keine Geschichte über einen weit entfernten Unternehmensangriff. Es ist eine Geschichte darüber, wie die Art von persönlichen Informationen, die Ihre Identität ausmachen, in globalem Maßstab von einer gut ausgestatteten, staatlich verknüpften Operation abgeerntet wird.

Wer ist Gallium und was wollten sie?

Gallium ist das, was die Sicherheitsgemeinschaft eine Advanced Persistent Threat (APT)-Gruppe nennt. Dabei handelt es sich nicht um opportunistische Cyberkriminelle, die Phishing-Betrügereien für schnelles Geld durchführen. APT-Gruppen werden typischerweise von Nationalstaaten unterstützt, verfolgen langfristige strategische Ziele und verfügen über die Geduld und die Ressourcen, um monatelang oder jahrelang unentdeckt in kompromittierten Systemen zu verbleiben.

In diesem Fall verbrachte Gallium über ein Jahrzehnt damit, Einbrüche in verschiedenen Branchen durchzuführen, mit einem besonderen Fokus auf Regierungsbehörden und Telekommunikationsbetreiber. Telekommunikationsnetzwerke sind ein bevorzugtes Ziel, da sie enorme Mengen an Kommunikationsdaten übertragen. Die Kompromittierung eines Telekommunikationsbetreibers kann Angreifern Zugang zu Anrufaufzeichnungen, Nachrichten-Metadaten und Teilnehmerinformationen in großem Umfang verschaffen, ohne dass einzelne Benutzer direkt gehackt werden müssen.

Die Daten, auf die sie zugriffen, lesen sich wie alles, was ein Betrüger, ein ausländischer Geheimdienst oder ein Identitätsdieb haben möchte: Namen, Geburtsdaten, Geburtsorte, Telefonnummern, Wählerregistrierungsdetails und nationale Identifikationsnummern.

Warum Regierungen und Telekommunikationsunternehmen nur der Einstiegspunkt sind

Es ist verlockend, eine solche Geschichte zu lesen und zu glauben, sie betreffe nur Regierungsangestellte oder Personen, die das Pech hatten, einen kompromittierten Telekommunikationsanbieter zu nutzen. Diese Annahme ist es wert, hinterfragt zu werden.

Wenn eine staatlich verknüpfte Gruppe auf Telekommunikationsinfrastruktur abzielt, reichen die Auswirkungen bis zu gewöhnlichen Teilnehmern. Wenn Regierungsdatenbanken kompromittiert werden, gehören die darin gespeicherten persönlichen Aufzeichnungen privaten Bürgern. Die 53 betroffenen Einrichtungen in 42 Ländern waren die Zugangspunkte, nicht das endgültige Ziel.

Staatlich geförderte Cyberoperationen wie die von Gallium werden auch häufig genutzt, um Dossiers über Einzelpersonen für Überwachungs-, Erpressungs- oder zukünftige Targeting-Zwecke zu erstellen. Die Zusammenführung scheinbar alltäglicher Datenpunkte – ein Geburtsdatum hier, eine Wähler-ID-Nummer dort – schafft ein Profil, das gefährlicher ist als jedes einzelne Informationsstück für sich allein wäre.

Googles Eingreifen ist bedeutsam, hebt aber kein Jahrzehnt des Zugangs auf. Die Daten, auf die in diesem Zeitraum zugegriffen wurde, verschwinden nicht, sobald das Netzwerk zerschlagen ist.

Was das für Sie bedeutet

Wenn Sie in einem der 42 betroffenen Länder leben oder Dienste nutzen, die von einer der 53 betroffenen Einrichtungen betrieben werden, wurden Ihre persönlichen Daten möglicherweise bereits offengelegt. Derzeit gibt es keine bestätigte öffentliche Liste dieser Organisationen, was es schwierig macht, mit Sicherheit zu wissen, ob Sie betroffen sind.

Folgendes können Sie jetzt tun:

Überwachen Sie Ihre Identität. Achten Sie auf unbekannte Konten, unerwartete Kreditanfragen oder offizielle Korrespondenz, die darauf hindeutet, dass jemand Ihre Daten verwendet.
Seien Sie vorsichtig bei unaufgefordertem Kontakt. Phishing-Versuche und Social-Engineering-Angriffe folgen häufig auf große Datenpannen, da Angreifer gestohlene Informationen nutzen, um ihre Ansätze überzeugender zu gestalten.
Begrenzen Sie Ihre Online-Datenexposition. Je weniger persönliche Daten Sie über ungesicherte Verbindungen übertragen, desto kleiner ist Ihre Angriffsfläche.
Nutzen Sie ein VPN in öffentlichen und nicht vertrauenswürdigen Netzwerken. Obwohl ein VPN keine Daten schützen kann, die bereits von einer Drittorganisation gestohlen wurden, verschlüsselt es Ihren Internetverkehr, sodass Ihre Browsing-Aktivitäten, Ihr Standort und Ihre Kommunikation nicht während der Übertragung von jemandem abgefangen werden können, der das Netzwerk überwacht – sei es ein Krimineller, ein Datenhändler oder ein staatlicher Akteur.

Der Gallium-Fall ist eine Erinnerung daran, dass überwachungsorientierte Cyberoperationen keine hypothetischen Bedrohungen sind. Sie laufen jahrelang, sie zielen auf Infrastruktur ab, auf die Sie täglich angewiesen sind, und sie sammeln dieselben Kategorien persönlicher Daten, die Sie routinemäßig mit Diensten und Institutionen teilen.

Verschlüsselte Verbindungen als Teil einer umfassenderen Verteidigung

Kein einzelnes Werkzeug eliminiert alle Risiken, und es wäre unehrlich, etwas anderes zu behaupten. Aber die Schichtung Ihrer Verteidigung ist wichtig. [Zu verstehen, wie VPN-Verschlüsselung funktioniert](internal-link: encryption explainer) und sie konsequent anzuwenden – insbesondere beim Verbinden über öffentliches WLAN oder Netzwerke außerhalb Ihrer Kontrolle – reduziert die Datenmenge, die während der Übertragung über Sie erfasst werden kann.

hide.me VPN verschlüsselt Ihre Internetverbindung mithilfe starker, geprüfter Protokolle, maskiert Ihre IP-Adresse und verhindert, dass Dritte Ihren Datenverkehr abfangen. Es kann einen Angriff, der bereits bei einer Regierungsbehörde oder einem Telekommunikationsunternehmen stattgefunden hat, nicht rückgängig machen. Was es jedoch tut, ist sicherzustellen, dass Ihre eigene Verbindung kein leichtes Ziel für die Art von passiver Überwachung und Datensammlung ist, die Operationen wie die von Gallium antreibt.

Googles Zerschlagung dieses Netzwerks ist ein echter Gewinn für die globale Cybersicherheit. Die übergeordnete Lektion ist jedoch, dass staatlich gefördertes Hacking ein beständiges, geduldiges und gut finanziertes Problem ist. Maßnahmen zum Schutz Ihrer eigenen Daten zu ergreifen – einschließlich [der Wahl von Datenschutztools, denen Sie vertrauen können](internal-link: privacy tools guide) – ist keine Paranoia. Es ist eine vernünftige Reaktion auf eine dokumentierte Bedrohung.