Eine mehrjährige Phishing-Operation gegen die US-Luft- und Raumfahrt- und Verteidigungssektoren hat aufgedeckt, wie Angreifer erfolgreich Vertrauensbeziehungen manipuliert haben, um sensible Software zu erhalten, unter anderem von Mitarbeitern in Verbindung mit NASA.
Laut Ergebnissen des NASA-Büros des Generalinspekteurs orchestrierte ein chinesischer Staatsbürger eine ausgeklügelte Social-Engineering-Kampagne, indem er sich als US-amerikanische Forscher und Ingenieure ausgab. Der Angreifer nutzte sorgfältig gestaltete E-Mails und gefälschte Identitäten, um die Opfer davon zu überzeugen, dass sie mit legitimen Kollegen kommunizierten.
Das Programm lief von 2017 bis 2021 und richtete sich an eine Vielzahl von Organisationen, darunter NASA, das US-Militär, Bundesbehörden, Universitäten und private Unternehmen. Die Opfer wurden mit Anfragen nach Zugang zu proprietärer Luft- und Raumfahrtsoftware und Quellcode angesprochen, oft unter dem Vorwand von Zusammenarbeit oder akademischem Austausch.
Ermittler stellten fest, dass in mehreren Fällen die Ziele unwissentlich gehorchten und kontrollierte oder eingeschränkte Daten übermittelten, ohne zu wissen, dass der Empfänger Teil einer mit ausländischen Geheimdienstinformationen verbundenen Operation war. Es wird angenommen, dass die gestohlene Software Anwendungen in der aerodynamischen Modellierung und der fortschrittlichen Waffenentwicklung hat, was nationale Sicherheitsbedenken aufwirft.
Die Person hinter der Kampagne wurde als Song Wu identifiziert, ein Ingenieur, der mit einem chinesischen staatlichen Luft- und Raumfahrt- und Verteidigungsunternehmen verbunden ist. Die US-Behörden klagten ihn 2024 wegen Drahtbetrugs und schweren Identitätsdiebstahls an. Er ist weiterhin auf freiem Fuß und wird unter den Fahndverdächtigen geführt.
Die Operation setzte stark auf Social Engineering statt auf technische Exploits. Angreifer investierten Zeit in die Recherche von Zielen, den Aufbau glaubwürdiger Persönlichkeiten und die Aufrechterhaltung langfristiger Kommunikation, um Vertrauen aufzubauen. In einigen Fällen wurden wiederholte Anfragen nach Software und unregelmäßigen Zahlungs- oder Überweisungsmethoden verwendet, die die Ermittler später als Warnzeichen hervorhoben.
Beamte betonten, dass der Fall zeigt, wie selbst hoch technische Organisationen anfällig für menschenorientierte Angriffe bleiben. Durch das Umgehen traditioneller Sicherheitskontrollen und die Ausnutzung professioneller Beziehungen konnte die Kampagne sensible Informationen extrahieren, ohne sofortigen Verdacht zu erregen.
Der Vorfall spiegelt ein breiteres Muster in der Cyber-Spionage wider, bei dem Bedrohungsakteure den Diebstahl von Zugangsdaten, Identifikation und Vertrauensmanipulation gegenüber direkter Systemkompromittierung priorisieren. Sicherheitsexperten betonen weiterhin die Bedeutung der Mitarbeiterbewusstheit und strenger Handhabungsverfahren für exportkontrollierte Technologien, um die Gefährdung ähnlicher Angriffe zu verringern.