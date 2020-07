Das FBI hat am Donnerstag US-Unternehmen darauf hingewiesen, dass in China von den Behörden verpflichtend vorgeschriebene Software zur Umsatzsteuererklärung heimlich Malware mitinstalliert. Diese erlaube über eine Hintertür Zugang zu Firmennetzwerken mit Administratorrechten und so etwa das Aufspielen von Überwachungsprogrammen. So könnten unbemerkt Daten von Niederlassungen im Reich der Mitte abgezogen werden.

Sicherheitslücke mit Spionagemöglichkeit

Der US-Strafverfolgungsbehörde zufolge ist die Schadsoftware mit der Backdoor in den Programmen der chinesischen IT-Firmen Aisino und Baiwang entdeckt worden, meldet das Online-Magazin ZDNet. Dabei handle es sich um die einzigen beiden Dienstleister, die von der chinesischen Regierung eine Lizenz zum Anbieten von Diensten für die elektronische Steuererklärung erhalten hätten. Jedes ausländische Unternehmen, das in China operiert, dürfte daher von der Sicherheitslücke und den damit verknüpften Spionagemöglichkeiten betroffen sein.

Die FBI-Warnung AC-000129-TT listet dem Bericht nach zwei Vorfälle auf, bei denen bereits infizierte Firmen die Malware in ihren Netzwerken entdeckt haben. "Im Juli 2018 lud ein Angestellter eines US-Pharmakonzerns mit Geschäftsinteressen in China das Softwareprogramm Baiwang Tax Control Invoicing von baiwang.com herunter", schrieben die Ermittler. Mindestens seit März 2019 habe Baiwang Software-Updates verteilt, "die automatisch einen Treiber zusammen mit dem Hauptsteuerprogramm installierten".

Schadsoftware "GoldenSpy" installiert

Im April vorigen Jahres entdeckten demnach Mitarbeiter des betroffenen Unternehmens, dass so über das Programm "Golden Tax" eine Hintertür im eigenen Netzwerk angelegt worden sei. Die US-Sicherheitsfirma Trustwave hatte diese Backdoor bereits Mitte Juli beschrieben und auf den Namen "GoldenHelper" getauft. Die bei dem Verfahren zuletzt heruntergeladene Schadkomponente ist demnach die Datei "taxver.exe".

Weiter bezieht sich das FBI auf eine zweite, im Sinne der Angreifer verbesserte Variante dieser Schadsoftware, die Trustwave zuvor im Programm "Intelligent Tax" von Aisino ausgemacht und im Juni als "GoldenSpy" charakterisiert hatte. Dieses Basisprogramm werde auch von Banken eingesetzt, um Firmen das Abführen von Steuern zu erleichtern. Laut Trustwave hat die Malware hier die Firma Nanjing Chenkuo Network Technology zugeliefert, während sie bei GoldenHelper auf das Konto von NouNou Technology gehe.

Die IT-Sicherheitsexperten verweisen in ihren Berichten auch auf Spuren wie Hashes und Domains wie tax-helper.ltd, tax-assistant.com, tax-assistant.info oder bbs.tax-helper.info, die Firmen Aufschluss darüber geben könnten, dass ihre Netzwerke kompromittiert seien.

Staatliche Geheimdienstaktion vermutet

Das FBI vermeidet es zwar, direkt mit dem Finger auf die chinesische Regierung zu zeigen. Es konstatiert aber, dass Baiwang und Aisino ihre Steuersoftware unter der Aufsicht des National Information Security Engineering Center (NISEC) betrieben. Dabei handle es um einen staatseigenen Betrieb mit "fundamentalen Verbindungen" zu Chinas Volksbefreiungsarmee, was auf eine gut organisierte staatliche Geheimdienstaktion schließen lasse.

Hierzulande hatte es zuvor immer wieder Befürchtungen gegeben, dass der hiesige Elster-Dienst zur elektronischen Steuererklärung von Sicherheitsbehörden etwa missbraucht werden könnte, um Verdächtigen Staatstrojaner unterzujubeln.

