Wie Chinas patriotische „Honker“ zu den Elite-Cyberspionen der Nation wurden

Im Sommer 2005 war Tan Dailin ein 20-jähriger Doktorand an der Sichuan University of Science and Engineering, als er ins Visier der Volksbefreiungsarmee Chinas geriet.

Tan gehörte einer wachsenden Hacker- Community namens „Honkers“ an – Teenager und junge Leute im China der späten 90er und frühen 2000er Jahre, die Gruppen wie die Grüne Armee und Evil Octal gründeten und patriotische Cyberangriffe gegen westliche Ziele starteten, die sie als respektlos gegenüber China betrachteten. Die Angriffe waren nicht besonders raffiniert – meist Website-Verunstaltungen und Denial-of-Service-Operationen gegen Unternehmen in den USA, Taiwan und Japan – doch die „Honkers“ entwickelten ihre Fähigkeiten mit der Zeit weiter, und Tan dokumentierte seine Eskapaden in Blogbeiträgen. Nachdem er über Hackerangriffe auf japanische Ziele berichtet hatte, meldete sich die PLA.

Tan und seine Studienfreunde wurden ermutigt, an einem Hackerwettbewerb der PLA teilzunehmen und gewannen den ersten Platz. Die PLA lud sie zu einem intensiven, einmonatigen Hacker-Trainingscamp ein, und innerhalb weniger Wochen bauten Tan und seine Freunde Hacker-Tools, studierten Netzwerk-Infiltrationstechniken und führten simulierte Angriffe durch.

Der weitere zeitliche Ablauf der Ereignisse ist unklar, doch Tan, der unter den Hackernamen Wicked Rose und Withered Rose auftrat, gründete daraufhin seine eigene Hackergruppe – die Network Crack Program Hacker (NCPH). Die Gruppe erlangte schnell Bekanntheit durch gewonnene Hackerwettbewerbe und die Entwicklung von Hacking-Tools. Sie entwickelten das GinWui-Rootkit, eine der ersten selbst entwickelten Remote-Access-Backdoors Chinas, und setzten es, so glauben Experten, zusammen mit Dutzenden von selbstgeschriebenen Zero-Day-Exploits im Frühjahr und Sommer 2006 in einer Reihe „beispielloser“ Hacks gegen US-Unternehmen und Regierungsstellen ein. Laut Adam Kozy, der Tan und andere chinesische Hacker jahrelang als ehemaliger FBI-Analyst verfolgte und heute die auf China spezialisierte Beratungsfirma SinaCyber leitet, taten sie dies im Auftrag der PLA.

Tan gab damals online bekannt, dass er und sein Team für ihre Hackerangriffe etwa 250 Dollar pro Monat erhielten. Er sagte jedoch nicht, wer sie bezahlte oder was sie gehackt hatten. Laut einem Bericht des ehemaligen Bedrohungsanalyseunternehmens VeriSign iDefense aus dem Jahr 2007 stieg die Bezahlung nach ihrer Hacker-Tour im Sommer auf 1.000 Dollar pro Monat.

Irgendwann wechselte Tan das Team und begann, für das Ministerium für Staatssicherheit (MSS), Chinas zivilen Geheimdienst, als Teil der berüchtigten Hackergruppe APT 41 zu arbeiten. Und im Jahr 2020, als Tan 36 Jahre alt war, verkündete das US-Justizministerium Anklage gegen ihn und andere mutmaßliche APT 41-Mitglieder wegen des Hackens von mehr als 100 Zielen, darunter US-Regierungssysteme, Gesundheitsorganisationen und Telekommunikationsunternehmen.

Tans Weg zu APT 41 ist kein Einzelfall. Er ist nur einer von vielen ehemaligen Honkers, die ihre Karriere als selbstbestimmte patriotische Hacker begannen, bevor sie vom Staat in seinen riesigen Spionageapparat aufgenommen wurden.

Abgesehen von Kozys Aussage vor dem Kongress im Jahr 2022 wurde nicht viel über die Honkers und ihre entscheidende Rolle bei Chinas APT-Operationen geschrieben. Ein neuer Bericht , der diesen Monat von Eugenio Benincasa, leitender Cyberabwehrforscher am Center for Security Studies der ETH Zürich in der Schweiz, veröffentlicht wurde, geht jedoch näher auf Kozys Arbeit ein, die die Anfänge der Honkers und die Art und Weise verfolgt, wie diese Gruppe begabter junger Leute zu einigen der produktivsten Cyberspione Chinas wurde.

„Es geht nicht nur darum, dass [Honkers] eine Hackerkultur geschaffen hat, die implizit mit den Zielen der nationalen Sicherheit im Einklang stand“, sagt Benincasa, „sondern auch um die persönlichen Beziehungen, die sie aufgebaut haben, [die] sich noch heute in den APTs widerspiegeln.“

Die Honker-Community entstand im Wesentlichen mit dem Internetanschluss Chinas im Jahr 1994. Ein Netzwerk, das Universitäten und Forschungszentren im ganzen Land zum Wissensaustausch verband, verschaffte chinesischen Studenten einen Vorsprung im Internet. Wie US-Hacker waren die Honkers autodidaktische Technikbegeisterte, die sich in elektronischen Bulletin Boards (DFÜ-Foren) über Programmier- und Hacking-Tipps austauschten. Bald gründeten sie Gruppen wie Xfocus, China Eagle Union und The Honker Union of China und wurden als Red Hackers oder Honkers bekannt. Der Name leitet sich vom mandarinischen Wort „hong“ für rot und „heike“ für dunklen Besucher ab – dem chinesischen Begriff für Hacker.

Die Gruppen verwalteten sich selbst, hatten lose Hierarchien und verfügten sogar über ethische Grundsätze, die von einflussreichen Mitgliedern wie dem taiwanesischen Hacker Lin Zhenglong (bekannt unter seinem Spitznamen „coolfire“) geprägt wurden. Lin war der Ansicht, Hackerfähigkeiten sollten nur gefördert werden, um die Cyberabwehr zu stärken – um die Methoden der Hacker kennenzulernen und sie zu vereiteln. Er verfasste ein einflussreiches Hackerhandbuch, „um das Bewusstsein für die Bedeutung von Computersicherheit zu schärfen, nicht um den Leuten beizubringen, wie man Passwörter knackt“.

Da es damals keine simulierten Umgebungen gab, in denen Hacker ihre Fähigkeiten verbessern konnten, griff Honkers oft auf das Hacken realer Netzwerke zurück. Lin widersetzte sich dem nicht – Hacking war in China nur gegen Regierungs-, Verteidigungs- oder wissenschaftliche Forschungsnetzwerke illegal –, veröffentlichte jedoch eine Reihe ethischer Richtlinien, die Hackern rieten, staatliche Systeme zu meiden oder dauerhafte Schäden zu verursachen und die Systeme nach Honkers‘ Hacking wieder in den ursprünglichen Zustand zu versetzen.

Diese Richtlinien fielen jedoch bald nach einer Reihe von Vorfällen, bei denen ausländische Akteure China beleidigten, ins Wanken. 1998 brach in Indonesien eine Welle der Gewalt gegen ethnische Chinesen aus, woraufhin empörte Honker-Gruppen mit koordinierten Website-Verunstaltungen und Denial-of-Service-Angriffen auf indonesische Regierungsziele reagierten. Im darauffolgenden Jahr, nachdem der taiwanesische Präsident Lee Teng-hui seine Zweistaatentheorie verkündet hatte, die die Ein-China-Doktrin der Kommunistischen Partei infrage stellte, verunstalteten die Honkers taiwanesische Regierungsseiten mit patriotischen Botschaften, die die Existenz eines vereinten Chinas beteuerten.

Im Jahr 2000, nachdem Teilnehmer einer Konferenz in Japan die Fakten rund um das Nanjing-Massaker geleugnet hatten, bei dem während der japanischen Besetzung der Stadt in den 1930er Jahren schätzungsweise 300.000 Chinesen getötet worden waren, verteilte Honkers eine Liste mit über 300 Websites japanischer Regierungen und Unternehmen sowie E-Mail-Adressen japanischer Beamter und forderte die Mitglieder auf, diese ins Visier zu nehmen.

Die sogenannten patriotischen Cyberkriege gaben den Honkers ein gemeinsames Ziel und prägten eine Identität, die sich von westlichen Hackergruppen, denen sie bis dahin nachgeahmt hatten, unterschied. Während westliche Hacker vor allem von Neugier, intellektueller Herausforderung und dem Recht auf Prahlerei motiviert waren, verband die Honkers ihr gemeinsames Ziel, China zum „Aufstieg“ zu verhelfen. In einem Versprechen der China Eagle Union gelobten die Honkers, „die Interessen der chinesischen Nation über alles andere zu stellen“.

Die patriotischen Kriege machten Chinas Honkers bekannt und inspirierten weitere, sich ihnen anzuschließen. Die Honker Union wuchs auf schätzungsweise 80.000 Mitglieder an, die Green Army auf 3.000. Die meisten waren einfach nur Enthusiasten und Abenteuerlustige, doch eine Untergruppe zeichnete sich durch Führungsqualitäten und Hackerfähigkeiten aus. Eine besonders einflussreiche Gruppe unter ihnen, die Benincasa die „Roten 40“ nennt, gründete oder trat vielen von Chinas führenden Cybersicherheits- und Technologieunternehmen bei und wurde zu einem integralen Bestandteil der staatlichen Cyberspionagemaschinerie.

Es gebe keine Beweise dafür, dass die Regierung die patriotischen Hackerangriffe gelenkt habe, sagt Benincasa. Doch ihre Aktivitäten hätten staatliche Interessen verfolgt und die Regierung auf sich gezogen. Ein pensionierter Konteradmiral der Volksbefreiungsarmee und ehemaliger Professor der Nationalen Verteidigungsuniversität der Volksbefreiungsarmee lobte ihren Patriotismus. Auch die Öffentlichkeit schien ihn zu unterstützen. Einem Bericht zufolge befürworteten 84 Prozent der Internetnutzer in China die patriotischen Hackerangriffe.

Doch im April 2001 änderte sich dies, nachdem ein chinesischer Kampfjet vor der Küste Hainans ein US-Aufklärungsflugzeug streifte und einen internationalen Zwischenfall auslöste. Bei der Kollision starb der chinesische Pilot, und die US-Maschine musste auf Hainan landen. Dort beschlagnahmte das chinesische Militär die Maschine und hielt die Besatzung über eine Woche lang fest. Der Vorfall schürte nationalistische Gefühle unter amerikanischen und chinesischen Hackern, und beide Seiten starteten Cyberangriffe auf die Systeme des jeweils anderen Landes.

Die chinesische Regierung war besorgt über die mangelnde Kontrolle der Honkers und befürchtete, diese könnten zur Belastung werden und die Spannungen eskalieren lassen. Die offizielle Zeitung der Kommunistischen Partei Chinas verglich den Hackerangriff mit „Internet-Terrorismus“, und auch der Vorsitzende der Internet Society of China verurteilte ihn in einer Erklärung über Chinas offizielle Staatsmedien. Der pensionierte Konteradmiral der Volksbefreiungsarmee, der die Gruppen zuvor gelobt hatte, warnte nun, sie seien eine Bedrohung für die internationalen Beziehungen.

Die Honkers verstanden die Botschaft, doch da ihre patriotische Mission auf Eis gelegt war, brach der Zusammenhalt der Gruppen. Es kam zu Führungskonflikten und Meinungsverschiedenheiten über Ausrichtung und Prioritäten – einige wollten sich professionell verhalten und Cybersicherheitsfirmen gründen, um Chinas Systeme vor Angriffen zu schützen; andere wollten auf eigene Faust agieren und Schadsoftware verkaufen. Erstere verließen die Gruppe, um sich Technologiefirmen wie Baidu, Alibaba und Huawei oder Cybersicherheitsfirmen wie Venustech und Topsec anzuschließen. Einige wurden Unternehmer und gründeten eigene Sicherheitsfirmen wie NSFocus und Knownsec, die zu führenden Unternehmen in der Schwachstellenforschung und Bedrohungsaufklärung wurden. Andere konzentrierten sich jedoch auf Cyberkriminalität. Wieder andere, wie Tan, arbeiteten als Auftragshacker für die PLA und den MSS oder gründeten Firmen, die diese Operationen unterstützten.

Laut Benincasa begannen die Volksbefreiungsarmee und der Militärdienst (MSS) etwa 2003 mit der Anwerbung von Honkers. Nach den Hackerangriffen von 2006, die NCPH und Tan zugeschrieben wurden, wurde die Rekrutierung jedoch strukturierter und ernsthafter. Die Rekrutierung nahm während und nach den Olympischen Spielen 2008 in Peking zu und wurde wahrscheinlich 2009 durch die Verabschiedung der chinesischen Strafrechtsänderung VII begünstigt, die unbefugtes Eindringen in Netzwerke sowie die Verbreitung von Hacking-Tools unter Strafe stellte.

Hackerforen wurden geschlossen, und einige Honkers wurden verhaftet. Es sprach sich herum, dass Tan einer von ihnen war. Laut Kozy drohte Tan eine Gefängnisstrafe von siebeneinhalb Jahren, obwohl unklar ist, ob er überhaupt eine davon verbüßte. Kozy glaubt, er habe einen Deal abgeschlossen und angefangen, für die MSS zu arbeiten. 2011 gründete er offenbar eine Antivirenfirma namens Anvisoft , die möglicherweise als Tarnung für seine Arbeit bei der MSS diente.

Die ehemaligen Honkers Zeng Xiaoyong (Envymask) und Zhou Shuai (Coldface) wurden laut Benincasa ebenfalls Vertragspartner der PLA und des MSS und arbeiteten an Operationen von APT 41, APT 17 und APT 27 mit. Einige arbeiteten über Scheinfirmen, andere über legitime Firmen, die als Vermittler zu den Geheimdiensten fungierten.

Topsec und Venustech waren zwei Firmen, die diese Bemühungen angeblich unterstützt haben. Topsec beschäftigte mehrere ehemalige Honker, darunter den Gründer der Honker Union of China, und der Gründer von Topsec gab in einem Interview zu, dass die PLA sein Unternehmen leitete. 2015 wurde Topsec mit staatlich geförderten Cyber-Operationen in Verbindung gebracht, darunter dem Datendiebstahl bei Anthem Insurance in den USA.

Im Laufe der Jahre wurden viele der von chinesischen APT-Gruppen verwendeten Tools von Honkers entwickelt und von der PLA und der MSS für die Erforschung von Schwachstellen und die Entwicklung von Exploits genutzt. 1999 veröffentlichte Huang Xin (Glacier), ein Mitglied der Green Army, „Glacier“, einen Remote-Access-Trojaner. Im darauf folgenden Jahr veröffentlichten er und Yang Yong (coolc) von XFocus X-Scan, ein Tool zum Scannen von Netzwerken auf Schwachstellen, das bis heute von Hackern in China verwendet wird. 2003 veröffentlichten zwei Mitglieder der Honker Union HTRAN, ein Tool zum Verschleiern des Standorts eines Angreifers, indem dessen Datenverkehr über Proxy-Computer umgeleitet wurde und das von chinesischen APTs verwendet wurde. Tan und sein NCPH-Kollege Zhou Jibing (whg) sollen 2008 die PlugX-Hintertür entwickelt haben, die von mehr als 10 chinesischen APTs verwendet wurde. Laut Benincasa entwickelte Zhou es weiter und produzierte ShadowPad, das von APT 41 und anderen verwendet wurde.

Im Laufe der Jahre haben Leaks und US-Anklagen gegen ehemalige Honkers deren angebliche Spionagekarrieren nach ihrer Zeit als Honkers ans Licht gebracht. Auch Chinas Einsatz gewinnorientierter Firmen für staatliche Hackeroperationen wurde aufgedeckt. Zu letzteren gehören i-Soon und Integrity Tech, die beide von ehemaligen Honkers gegründet wurden.

Wu Haibo (shutdown), ehemals bei Green Army und 0x557, gründete i-Soon 2010. Im vergangenen Jahr wurden interne i-Soon-Dateien und Chatprotokolle geleakt , was die Spionagetätigkeit des Unternehmens im Auftrag des MSS und des MPS aufdeckte. Im März dieses Jahres wurden acht i-Soon-Mitarbeiter und zwei MPS-Beamte von den USA wegen Hackerangriffen auf US-Behörden, asiatische Außenministerien, Dissidenten und Medienunternehmen angeklagt .

Integrity Tech, 2010 vom ehemaligen Mitglied der Grünen Armee Cai Jingjing (cbird) gegründet, wurde dieses Jahr von den USA wegen Verbindungen zu Hackerangriffen auf die globale Infrastruktur mit Sanktionen belegt.

In diesem Jahr klagten die USA auch die ehemaligen Mitglieder der Grünen Armee, Zhou und Wu, wegen staatlicher Hackerangriffe an und verhängten Sanktionen gegen Zhou wegen Verbindungen zu APT 27. Neben seinen staatlich geförderten Hackerangriffen soll er auch einen Datenleck-Dienst betrieben und einige der gestohlenen Daten an Kunden, darunter auch Geheimdienste, verkauft haben.

Dies ist nicht unähnlich den frühen US-Hackern, die ebenfalls Gründer von Cybersicherheitsunternehmen wurden und von der National Security Agency (NSA) und der Central Intelligence Agency (CIA) angeworben oder von Auftragnehmern für Hackeroperationen im Auftrag der US-Unternehmen beauftragt wurden. Anders als in den USA haben Chinas gesamtgesellschaftliche Geheimdienste jedoch einige chinesische Bürger und Unternehmen gezwungen, bei der Spionage mit dem Staat zusammenzuarbeiten, bemerkt Kozy.

„Ich glaube, China dachte von Anfang an: ‚Wir können [die Honkers] für staatliche Interessen vereinnahmt haben.‘“, sagt Kozy. „Und … weil viele dieser jungen Leute von Natur aus patriotisch eingestellt waren, wurden sie quasi zum Dienst gedrängt, indem man sagte: ‚Hey, ihr werdet eine Menge wirklich Gutes für das Land tun.‘ Außerdem erkannten viele von ihnen, dass sie damit reich werden könnten.“