CrowdStrike Bericht offenbart Industriespionage für China’s C919 Flugzeug

20. Februar, 2020
CrowdStrike Bericht offenbart Industriespionage für China’s C919 Flugzeug

Das kalifornische Unternehmen für Cybersicherheit, CrowdStrike, veröffentlichte vor Kurzem ein Bericht darüber, wie viel Industriespionage in Chinas neuem Flugzeug C919 tatsächlich steckt. Das Flugzeug wird seit 2010 von der chinesischen Comac entwickelt. Die Commercial Aircraft Corporation of China Ltd ist ein staatseigenes chinesisches Unternehmen in Shanghai. Es ist ein Joint Venture verschiedener chinesischer Unternehmensgruppen. Das von der Comac gebaute Mittelstreckenflugzeug C919 soll langfristig mit dem europäischen A320 und der amerikanischen Boeing 737 konkurrieren. Die staatlichen chinesischen Fluggesellschaften wurden bereits 2011 gezwungen, jeweils mindestens 20 Flugzeuge beim Staatsbetrieb zu bestellen. Doch bisher warten sie noch auf ein auslieferbares Modell.

Die Chinesen haben einen immensen Aufwand in den letzten zwei Jahrzehnten betrieben, um ihre Flugzeugindustrie aufzubauen. Überwiegend geschah das durch staatliche Forschungsstellen und Kooperationen mit namhaften internationalen Flugzeugteileherstellern. Die langfristigen staatlichen Strategiepläne für China 2025 setzen die chinesische Luft- und Raumfahrtindustrie unter den zehn wichtigsten Branchen, die bevorzugt entwickelt werden sollen.

Durch diese Strategien sollte langfristig der Bedarf an Flugzeugen für die stetig wachsende, reisewillige chinesische Mittelklasse gedeckt werden. Die C919 sollte dabei in der Herstellung nur etwa halb so teuer sein, wie seine vergleichbaren Konkurrenten. Aber bedingt durch viele Konstruktionsfehler konnte die C919 ihren Jungfernflug erst 2017 absolvieren. Und eine offizielle Genehmigung für den kommerziellen Gebrauch ist noch nicht wirklich in Sicht. Es ist eine Sache, ein Flugzeug zu entwickeln, es allerdings zur Genehmigungsreife zu bekommen, ist eine ganz andere Geschichte. Nach dem Jungfernflug sind die Chinesen aber durchaus schon stolz auf ihr Flugzeug. Was dem Stolz aber offenbar keinen Abbruch tut, ist, dass in der C919 mehr international hergestellte Komponenten stecken als chinesische – durchaus normal im globalisierten Geschäft, könnte man sagen. Allerdings möchten die Chinesen sich langfristig komplett von ausländischen Zulieferern abkoppeln. Und um das zu erreichen, wurde die Entwicklung der C919 von Anfang an militärisch durchgeplant. Und, wie die CrowdStrike Forscher herausfinden konnten, baut sie auf eine groß angelegte Industriespionage auf.

Ein Beispiel dafür ist das Triebwerk für den chinesischen Jet. Ende 2009 ging Comac mit CFM International einen Vertrag zur Lieferung eines speziellen Triebwerks für die C919 ein. Der LEAP-X Triebwerks Deal sollte aber, wie sich später herausstellte, nur ein Vorwand sein, um an ein Muster zu kommen. Ziel von chinesischer Seite war es immer gewesen, das LEAP-X Triebwerk komplett in China nachzubauen. Wahrscheinlich war das einfacher gedacht, als getan. Denn der chinesische Staat beauftragte von Anfang an seine sogenannte Turbine Panda Hackergruppe hier nachzuhelfen mit der Beschaffung von technischem Know-how. Die Gruppe führte zwischen 2010 und 2015 viele gezielte Cyberangriffe gegen mehrere Unternehmen der Luftfahrtindustrie aus.

Turbine Panda Hacker – kurz vorgestellt

Der kürzlich veröffentlichte Crowdstrike Bericht zeigt auf, wie diese ganz genau koordinierte mehrjährige Hacking-Kampagne gegen ausländische Unternehmen ablief. Alle angegriffenen Unternehmen waren Vertragspartner, die Komponenten für die C919 geliefert haben. Sie wurden alle systematisch angegriffen und ausspioniert.

Um das durchzuziehen, habe, so Crowdstrike, das Ministerium für Staatssicherheit das Jiangsu Bureau beauftragt, diese Spionageangriffe durchzuführen. Das Büro wiederum wies zwei leitende chinesische Beamte mit der Koordination an. Der eine war für das eigentliche Hacking-Team verantwortlich und der andere für die Rekrutierung von Insidern bei den ausländischen Luft- und Raumfahrtunternehmen. Das Team von Hackern setzte sich aus einer ganzen Vielfalt von Protagonisten zusammen – selbstverständlich alle genau ausgesucht. Es bestand aus Hackern der chinesischen Untergrund-Hacker-Szene, Beamten des Ministeriums für Staatssicherheit, Insidern bei Ziel-Unternehmen und sogar Sicherheitsforschern. Zwischen 2010 und 2015 konnte das von CrowdStrike als Turbine Panda genannte Team, erfolgreiche Angriffe gegen C919-Komponentenzulieferer wie Ametek, Honeywell, Safran, Capstone Turbine, GE und andere durchführen.

Die Untergrund-Hacker hatten dabei die Aufgabe, einen Weg in Zielnetzwerke zu finden. Sie verwendeten dafür Malware wie Sakula, PlugX und Winnti, alles spezielle, selbstentwickelte Malware. Zunächst galt es nach proprietären Informationen zu suchen und sie auf Remoteserver zu übertragen. Erst wenn die Hacker mit ihren Malware Tools nicht weiterkamen im Zielnetzwerk, wurde auf die nächste Angriffsstufe geschaltet. Das Ministerium für Staatssicherheit rekrutierte dafür jeweils einen chinesischen Staatsbürger, der im Zielunternehmen arbeitete. Er wurde missbraucht, um die Sakula Malware im Netzwerk des Opfers einzuschleusen. Turbine Panda war damit als Gruppe äußerst erfolgreich.

Das chinesische CJ-1000AX-Triebwerk

2016 wurde nach fast sechs Jahren der Forschung und Entwicklung das CJ-1000AX-Triebwerk vorgestellt. Es war zwar ein chinesisches Produkt, das allerdings wohl hauptsächlich mittels Industriediebstahl und ununterbrochenem Hacken der ausländischen Luftfahrtunternehmen entstanden war. Das CJ-1000AX-Triebwerk war ganz offensichtlich eine Mischung aus Komponenten, die von anderen Unternehmen kopiert worden waren, die mit der Herstellung des zuvor gelieferten LEAP-Triebwerks zu tun hatten. Auffallend gleich waren die Triebwerksabmessungen und die Größe des Turbofan-Schaufeldesigns. CrowdStrike behauptet nicht, dass das chinesische Triebwerk eine exakte Kopie ist. Die Forscher sagen, dass die Chinesen allerdings gewaltig profitiert haben von der jahrelangen Industriespionage. So konnten die Entwicklungszeit und die -kosten erheblich reduziert werden. Mit einem Beispiel untermauert CrowdStrike seine Ergebnisse: Bereits im Januar 2010, begann Turbine Panda damit, sich auf das Unternehmen Capstone Turbine in Los Angeles zu konzentrieren. Das war nur einen Monat, nachdem CFM als Triebwerkslieferant offiziell den Vertrag unterschrieb.

Detektivarbeit von CrowdStrike und US-Justizbehörden

In den letzten zwei Jahren veröffentlichte das US-Justizministerium einige Berichte zu den Turbine Panda Aktivitäten. Sie offenbaren, wie sich die Spionagevorgänge um die Hackergruppe letztendlich auf das MSS Jiangsu Bureau in Nanjing zurückführen lassen. Alles begann sich zu zeigen, als die Hacker den Fehler beginnen, größere Ziele anzugreifen, als sie bewerkstelligen konnten. Das waren die Angriffe auf den amerikanischen Krankenversicherer Anthem und das US-amerikanische Amt für Personalmanagement. Die Angriffe blieben nicht unbemerkt und die Detektivarbeit begann.

Sie lieferte letztendlich eine Menge nützlicher Informationen darüber, wie die Rekrutierung der Insider ablief. Diese Insider waren dann ganz einfach zu fassen, da sie auf keinerlei Schutz seitens der chinesischen Regierung hoffen konnten.

Als Nächstes wurde der chinesische Entwickler der Sakula Malware gefasst auf einer Sicherheitskonferenz in Los Angeles. Gegen ihn wurde Anklage erhoben wegen seiner Mittäterschaft an den Angriffen gegen Anthem und das US-Amt. Die Verhaftung versetzte die chinesische Cybersicherheitsindustrie in Panik. Regierungsseitig wurde ein Verbot erlassen, das allen chinesischen Forschern die Teilnahme an ausländischen Sicherheitskonferenzen untersagte. China befürchtete, dass die US-Behörden ihr geistiges „Kapital“ in die Hände bekommen könnten. Das Sicherheitsunternehmen Recorded Future fand später heraus, dass die chinesische Staatssicherheit eng mit chinesischen Cyber-Sicherheitsforschern zusammenarbeitete. Sie hielt heimlich die von den Forschern gefundenen Schwachstellen zurück und nutzte sie gnadenlos bei Angriffen aus.

Der größte Coup gegen Turbine Panda gelang 2018. Xu Yanjun, ein Offizier des chinesischen Ministerium für Staatssicherheit wurde gefasst. Er war für die Rekrutierung der Insider bei den ausländischen Unternehmen verantwortlich. Die US-Behörden hoffen, dass Xu mit ihnen zusammenarbeitet, um seine Haftstrafe zu reduzieren.

Um Turbine Panda ist es danach still geworden. Vermutlich haben die diversen Verhaftungen der Gruppe etwas den Wind aus den Segeln genommen. Aber, China ist groß genug und andere können diese Lücke schnell schließen: Bereits aktiv tätig sind beispielsweise Emissary Panda, Nightshade Panda, Sneaky Panda, Gothic Panda und Anchor Panda und noch einige andere Hackergruppen. Sie setzen erwartungsgemäß die Angriffe auf ausländische Luftfahrtunternehmen fort. Die Spionageaktivtäten werden wohl solange andauern, wie Comac es nicht schafft, den erwarteten Erfolg zu liefern.

Interessanterweise wird bereits am nächsten Flugzeugmodell C929 getüftelt, geforscht und vermutlich auch spioniert. Und sicherlich wird die Geschichte sich ähnlich abspielen, wie im Fall der C919. Warum sollte es sich auch plötzlich ändern, dass China seine wirtschaftliche Macht nicht mehr auf dem Rücken anderer Länder und ausländischer Unternehmen aufgebaut?

Die chinesische Regierung bietet ausländischen Unternehmen weiterhin Zugang zum boomenden chinesischen Binnenmarkt. Sie werden erst in Joint Ventures gezwungen, um dann später von ihren ehemaligen Partnern verdrängt zu werden. Lokale Unternehmen werden staatlich subventioniert und profitieren von dem Know-how der Partnerschaft. Die Geschichte wiederholt sich in diesem Punkt dann immer. Geschäftspartner werden gehackt und geistiges Eigentum gestohlen. In Rekordzeit können die chinesischen Unternehmen dann technische Produkte günstig produzieren. Dabei ist die Luftfahrtindustrie nur ein Teil dieses Schemas. Andere wichtige Branchen sind ebenfalls Ziel von chinesischer Industriespionage. Genannt werden können hier die maritime Industrie, Hardwarehersteller und auch viele Bereiche der akademischen Forschung und der Biotechnologie.

Der vollständige Crowdstrike-Bericht liefert einen interessanten Einblick, wie China seine Hacker einsetzt, um an fremdes geistiges Eigentum zu gelangen.

Artikel von zdnet.com, 14.10.2019: Building China’s Comac C919 airplane involved a lot of hacking, report says

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen