EXKLUSIV-Palo Alto wollte China nicht mit der Hacking-Kampagne in Verbindung bringen, aus Angst vor Vergeltungsmaßnahmen aus Peking, so Insider

- von Raphael Satter und AJ Vicens

WASHINGTON, 12. Feb (Reuters) - Palo Alto Networks PANW.O hat sich dafür entschieden, China nicht mit einer globalen Cyberspionage-Kampagne in Verbindung zu bringen, die das Unternehmen letzte Woche aufgedeckt hat, weil es befürchtete, dass das Cybersicherheitsunternehmen oder seine Kunden mit Vergeltungsmaßnahmen aus Peking rechnen müssten, so zwei mit der Angelegenheit vertraute Personen.

Die Insider sagten, dass Palo Alto's Feststellungen, dass China mit der ausgedehnten Hacking-Aktion in Verbindung steht, nach der Nachricht vom letzten Monat, die zuerst von Reuters (link) berichtet wurde, dass Palo Alto eines von etwa 15 US-amerikanischen und israelischen Cybersicherheitsunternehmen ist, deren Software von den chinesischen Behörden aus Gründen der nationalen Sicherheit verboten wurde, zurückgenommen wurden.

In einem Entwurf des Berichts von Palo Alos Unit 42, der Abteilung für Bedrohungsanalysen des Unternehmens, hieß es, dass die produktiven Hacker - in einem am Donnerstag letzter Woche veröffentlichten Bericht als "TGR-STA-1030" bezeichnet - mit Peking in Verbindung stünden, so die beiden Personen. Der fertige Bericht beschrieb die Hackergruppe stattdessen eher vage als eine "staatlich ausgerichtete Gruppe, die von Asien aus operiert"

Die Zuordnung ausgeklügelter Hackerangriffe ist bekanntermaßen schwierig, und Debatten darüber, wie die Schuld für digitale Eindringlinge am besten zugewiesen werden kann, sind unter Cybersecurity-Forschern üblich. Palo Alto hat jedoch in der Vergangenheit Hacks China zugeschrieben, so auch im vergangenen September (link), und die Insider sagten gegenüber Reuters, dass die Forscher von Unit 42 aufgrund einer Fülle von forensischen Hinweisen zuversichtlich seien, dass auch die neu entdeckte Hacking-Kampagne mit China in Verbindung stehe.

Die WDHLG, so die Insider, wurde von den Führungskräften von Palo Alto angeordnet, weil sie über das Softwareverbot besorgt waren und Vergeltungsmaßnahmen der chinesischen Behörden befürchteten, die sich entweder gegen die Mitarbeiter des Unternehmens in China oder gegen seine Kunden in anderen Ländern richten könnten.

Die Insider gaben nicht an, welche Führungskräfte die Entscheidung getroffen haben, die Schlussfolgerungen des Berichts abzuschwächen, und sie gaben auch nicht die genaue Formulierung an, die vor der WDHLG in dem Bericht stand. Sie sprachen unter der Bedingung der Anonymität, da sie nicht befugt waren, die Angelegenheit zu besprechen.

Auf die Frage nach einer Stellungnahme zu den angeblich abgeschwächten Formulierungen gab Palo Alto gegenüber Reuters eine Erklärung ab, in der es unter anderem heißt: "Die Zuschreibung ist irrelevant"

Nicole Hockin, Vice President of Global Communications von Palo Alto, sagte in späteren E-Mails an Reuters, dass die Erklärung darauf abzielte, zu vermitteln, dass das Fehlen von Zuschreibungen im Bericht von Palo Alto nichts mit den "Beschaffungsvorschriften in China" zu tun habe und dass jede gegenteilige Behauptung "spekulativ und falsch" sei Sie sagte, die Wahl der Sprache im Bericht von Palo Alto spiegele wider, "wie man Regierungen am besten über diese weit verbreitete Kampagne informiert und schützt"

Die chinesische Botschaft in Washington erklärte, sie lehne "alle Formen von Cyberangriffen" ab Sie fügte hinzu, dass die Zuordnung von Hacks "ein komplexes technisches Problem" sei und dass sie hoffe, "dass die relevanten Parteien eine professionelle und verantwortungsvolle Haltung einnehmen und ihre Charakterisierung von Cyber-Vorfällen auf ausreichende Beweise stützen, anstatt auf unbegründete Spekulationen und Anschuldigungen"

dIE SCHATTENKAMPAGNEN

Laut dem Bericht (link) entdeckte Palo Alto die Hackergruppe TGR-STA-1030 erstmals Anfang 2025. In einer breit angelegten Aktion, die Palo Alto als "The Shadow Campaigns" bezeichnete, führten die Spione angeblich Aufklärungsmaßnahmen gegen fast jedes Land der Welt durch und drangen erfolgreich in Regierungsstellen und kritische Infrastrukturen in 37 Ländern ein.

Obwohl China nicht namentlich erwähnt wurde, könnten aufmerksame Leser des Berichts von Palo Alto dennoch den Eindruck gewinnen, dass Peking beteiligt war. Die Forscher stellten beispielsweise fest, dass die Aktivitäten der Hacker auf die Zeitzone GMT+8 abgestimmt waren, zu der auch China gehört, und dass sich die Hacker nach einem Treffen zwischen dem tschechischen Präsidenten und dem Dalai Lama, dem spirituellen Führer Tibets, das Peking seit langem ein Dorn im Auge ist, auf die staatliche Infrastruktur Tschechiens zu konzentrieren schienen. In dem Bericht heißt es auch, dass die Hacker am 5. November Thailand im Vorfeld eines diplomatischen "Besuchs" angriffen Die Einzelheiten der Reise wurden in dem Bericht nicht genannt, aber in der darauffolgenden Woche fand der erste Staatsbesuch eines regierenden thailändischen Königs in Peking statt (link).

Externe Forscher, die den Bericht von Palo Alto geprüft haben, sagten, sie hätten ähnliche Aktivitäten beobachtet, die sie auf staatlich geförderte chinesische Spionageoperationen zurückführten.

"Unserer Einschätzung nach ist dies Teil eines umfassenderen Musters globaler Kampagnen, die mit China in Verbindung gebracht werden und die darauf abzielen, nachrichtendienstliche Informationen und dauerhaften internen Zugang zu Organisationen zu erlangen, die für Peking von Interesse sind", sagte Tom Hegel, ein leitender Bedrohungsforscher bei SentinelOne.

Palo Alto gibt auf seiner Website an, dass das Unternehmen fünf Niederlassungen in China unterhält, darunter in Peking, Shanghai und Guangzhou. Auf der professionellen Networking-Website LinkedIn sind mehr als 70 selbsternannte Palo Alto-Mitarbeiter in China aufgeführt, darunter Ingenieure und Kundenbetreuer.

Ein Wissenschaftler sagte, dass der Vorfall die Kompromisse verdeutlicht, mit denen Cybersicherheitsunternehmen - insbesondere solche mit globaler Präsenz - oft konfrontiert sind, wenn sie überlegen, ob sie staatlich geförderte Cyberspionage-Kampagnen aufdecken sollen. Einerseits kann die Aufdeckung ausländischer Spione der Branche Lob und positive Publicity einbringen. Andererseits kann die Auseinandersetzung mit einem ausländischen Geheimdienst zu Repressalien führen.

"Die Menschen sind schon immer Risiken eingegangen, indem sie Namen genannt haben", so Thomas Rid, Professor an der Johns Hopkins University, der die Geschichte der Cyberattribution untersucht hat. "Das war schon immer unangenehm, und wenn man Leute vor Ort hat, wie es bei großen Unternehmen der Fall ist, ist das eine zusätzliche Überlegung. Setzen Sie Ihre eigenen Leute - Ihre Mitarbeiter vor Ort - einem Risiko aus?"