Im Zuge der immer komplexer werdenden globalen Cyberbedrohungen zeichnet sich ein neuer gefährlicher Trend ab: Chinesische Hackergruppen richten ihre Attacken gezielt auf den Drohnensektor und nutzen dabei vor allem Lieferkettenangriffe, um empfindliche Systeme zu infiltrieren. Diese strategisch durchgeführten Cyberangriffe haben in den letzten Jahren insbesondere Organisationen in Taiwan und Südkorea ins Visier genommen und werfen ein Schlaglicht auf die Verwundbarkeit moderner, vernetzter Infrastrukturen. Die Auswirkungen solcher Angriffe erstrecken sich dabei weit über die unmittelbar betroffenen Firmen hinaus und betreffen die nationale Sicherheit ebenso wie wirtschaftliche Stabilität und technologische Wettbewerbsfähigkeit weltweit. Die Hackergruppe Earth Ammit, die von Sicherheitsexperten mit chinesischen Advanced Persistent Threats (APTs) in Verbindung gebracht wird, steht im Mittelpunkt dieser Cyberangriffe. Zwischen 2023 und 2024 initiierte Earth Ammit mehrere Wellen von Angriffen, die unterschiedliche Sektoren adressierten, darunter militärische Einrichtungen, Schwerindustrie, Software-Dienstleister, Satellitenbetreiber, Technologieunternehmen, Medien und den Gesundheitssektor.
Das Ziel war dabei stets dasselbe: den Drohnen-Lieferkettenprozess zu kompromittieren und so an vertrauliche Daten und Kontrolle über kritische Systeme zu gelangen. Der Kern der Earth Ammit-Strategie lag in der Fokussierung auf die vorgelagerten Lieferanten innerhalb der Drohnenindustrie. Durch das Infiltrieren und Manipulieren von vertrauenswürdigen Zulieferern konnten die Hacker nachgelagerte Kundenunternehmen effektiv erreichen und infizieren. Diese Vorgehensweise zeigt, wie Lieferkettenangriffe als Multiplikator dienen und eine Kaskade globaler Konsequenzen auslösen können. Indem sie autorisierte Softwareproduzenten und Dienstleister kompromittierten, stellten die Angreifer sicher, dass ihre Schadsoftware indirekt durch legitime Kanäle in die Systeme eindrang.
Zwei maßgebliche Kampagnen, die unter den Codenamen Tidrone und Venom bekannt wurden, verdeutlichen die ausgefeilte Taktik von Earth Ammit. Die Venom-Kampagne, die zeitlich vor Tidrone stattfand, zielte auf Webserver von Dienstleistern und Technologiesektoren in Taiwan sowie auf Unternehmen der Schwerindustrie in Südkorea ab. Hier nutzte die Gruppe Schwachstellen in Webservern aus, um sogenannte Webshells zu platzieren, die als Einstiegspunkt für weitere Manipulationen dienten. Anschließend verwendeten sie sowohl quelloffene Proxy-Tools als auch Fernzugriffsprogramme, um auf den kompromittierten Systemen langfristig präsent zu bleiben. Das Diebstählen von Zugangsdaten war ein wichtiger nächster Schritt, um die Attacke auf nachgelagerte Kunden auszuweiten.
Die nachfolgende Tidrone-Kampagne offenbarte eine Weiterentwicklung der Angriffsmethoden. Hier missbrauchten die Hacker Enterprise Resource Planning (ERP)-Software und Remote-Desktop-Zugang, um spezifische Backdoors – namentlich Cxclnt und Clntend – zu installieren. Diese Custom-Malware diente der Spionage, Demontage von Sicherheitsmechanismen und dem massenhaften Diebstahl sensitivster Informationen. Privilegien wurden erhöht und Sicherheitsdienste deaktiviert, um die Systeme möglichst lange unentdeckt zu infiltrieren. Zusätzlich setzten die Angreifer angepasste Werkzeuge wie Screencap für Bildschirmaufnahmen und Venfrpc als schnellen Reverse-Proxy ein.
Diese Werkzeuge basierten meist auf Open-Source-Projekten, wurden jedoch speziell modifiziert, um ihre Funktionalität und Tarnung zu verbessern. Das Vorgehen von Earth Ammit verdeutlicht einen Trend in der Cybersicherheitslandschaft: Der Übergang von reinen Opportunitätsangriffen hin zu zielgerichteten, maßgeschneiderten Operationen. Während die Venom-Kampagne noch überwiegend auf frei verfügbare Tools setzte, kam bei Tidrone komplexe eigene Schadsoftware zum Einsatz, um die Erkennung zu erschweren und die Kontrolle über kritische Infrastrukturen zu maximieren. Diese Professionalisierung macht es Sicherheitsverantwortlichen besonders schwer, Angriffe frühzeitig zu erkennen und abzuwehren. Die Bedeutung des Drohnensektors für moderne Militär-, Industrie- und Kommunikationsanwendungen lässt sich kaum überschätzen.
Drohnen werden weltweit als Schlüsseltechnologie angesehen, die für Aufklärung, Logistik, Überwachung und in zunehmendem Maße auch für autonome militärische Einsätze eingesetzt werden. Damit ist der Schutz dieser Wertschöpfungsketten nicht nur eine technische Herausforderung, sondern auch ein sicherheitspolitisch hoch sensibles Thema. Die Kompromittierung solcher Lieferketten kann zu Informationsverlusten, Sabotage, Datenmanipulation und letztlich zur Gefährdung der nationalen Verteidigungsfähigkeit führen. Darüber hinaus offenbaren diese Lieferkettenangriffe Schwachstellen in den global vernetzten Produktionsnetzwerken. Unternehmen verlassen sich auf eine Vielzahl von Zulieferern und Dienstleistern, die oft nicht dieselben strengen Sicherheitsvorgaben erfüllen wie die Endkunden.
Dieses Geflecht eröffnet Cyberkriminellen zahlreiche Angriffspunkte, die sich mit klassischer IT-Sicherheit nur schwer absichern lassen. Die Herausforderung besteht daher darin, das gesamte Ökosystem entlang der Lieferketten zu überwachen, Vertrauensanker zu identifizieren und zu schützen sowie schnell auf potenzielle Angriffe reagieren zu können. Experten raten zu einer umfassenden Risikobewertung und zur Implementierung von mehrstufigen Sicherheitsstrategien. Neben der klassischen IT-Sicherheit spielen dabei Monitoring-Systeme, forensische Analysefähigkeiten, regelmäßige Audits und ein enger Informationsaustausch zwischen Partnern in der Lieferkette eine wichtige Rolle. Auch der Einsatz moderner Technologien wie Künstliche Intelligenz kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen und abzuwehren.
Angesichts der zunehmenden politischen Spannungen zwischen Großmächten wie den USA und China gewinnt die Cybersicherheit im militärischen Drohnenbereich eine noch größere strategische Bedeutung. Der Wettlauf um technologische Überlegenheit und der Ausbau eigener autonomen Flotten von Drohnen führen unweigerlich zu erhöhter Anfälligkeit für Spionage und Sabotage durch staatlich gesteuerte Hackergruppen. Die Erde Ammit-Kampagne ist ein Beispiel dafür, wie digitale Kriegsführung zunehmend subtil und komplexer wird. Neben staatlichen Akteuren sind jedoch auch rein kriminelle Organisationen und Opportunisten im Cyberraum aktiv, die die Lieferketten mit Schadsoftware infizieren können. Die Verbreitung von Open-Source-Tools gibt dabei häufig eine Tarnung, unter der Angriffe schwer zurückverfolgt werden können.
Deshalb ist die Zusammenarbeit zwischen Unternehmen, Sicherheitsfirmen, Regulierungsbehörden und Geheimdiensten essenziell, um einen Überblick über mögliche Bedrohungen zu erhalten und schnell reagieren zu können. In Zukunft dürfte die Relevanz von Lieferkettenangriffen weiter zunehmen, da immer mehr Branchen digitalisiert und vernetzt werden. Die Drohnentechnologie bildet hier nur einen Ausschnitt eines viel größeren Bildes, in dem digitale Abhängigkeiten neue Risiken schaffen. Daraus ergeben sich enorme Herausforderungen für das Management von Cyberrisiken, die sowohl technologische als auch organisatorische Veränderungen erfordern. Unternehmen sollten daher nicht nur auf die Absicherung ihrer eigenen Systeme achten, sondern auch ihre Lieferanten und Partner in die Sicherheitsstrategie einbeziehen.
Die Implementierung von Standards für Cybersicherheit entlang der Lieferkette, die Verpflichtung zu Transparenz und die Prüfung von Software-Integrität sind Grundpfeiler eines robusten Schutzes. Gleichzeitig muss die Sensibilisierung der Mitarbeiter für diese komplexen Bedrohungen steigen, um menschliche Fehler als Einfallstor zu minimieren. Die Entdeckung und Analyse der Tidrone- und Venom-Kampagnen durch das Cybersicherheitsunternehmen Trend Micro bietet wertvolle Einblicke in die Methoden und Ziele moderner APTs. Ausgehend von ihrem Bericht können Sicherheitsexperten Muster erkennen, die bei der Prävention und Bekämpfung ähnlicher Angriffe helfen. Die kontinuierliche Überwachung und das Teilen von Informationen über Bedrohungen sind entscheidend, um derartige operative Bedrohungen frühzeitig zu identifizieren und Lösungen zu entwickeln.
Zusammenfassend lässt sich sagen, dass die Angriffe der chinesischen Gruppe Earth Ammit auf den Drohnensektor eine neue Ära der Cyberbedrohungen markieren. Lieferketten werden zum Ziel hochentwickelter, verdeckter Operationen, die komplexe Technik und ausgeklügelte Taktiken vereinen. Das unterstreicht die Notwendigkeit, Cybersicherheit als integralen Bestandteil von Industrie, Verteidigung und nationaler Sicherheit zu verstehen und zu stärken. Nur durch koordiniertes Vorgehen über Ländergrenzen und Branchen hinweg lässt sich diesen Herausforderungen wirksam begegnen und der Schutz kritischer Technologien wie Drohnen dauerhaft gewährleisten.
