Zwei der Quellen gehen davon aus, dass die Hacks zumindest teilweise darauf abzielten, Informationen über Schulden des ostafrikanischen Landes bei Peking zu erlangen: Kenia ist ein strategisches Bindeglied in der Belt and Road Initiative - Präsident Xi Jinpings Plan für ein globales Infrastrukturnetzwerk.
"Es könnte zu weiteren Kompromissen kommen, da die Notwendigkeit besteht, die bevorstehenden Rückzahlungsstrategien zu verstehen", heißt es in einem Forschungsbericht vom Juli 2021, den ein Verteidigungsunternehmen für Privatkunden verfasst hat.
Das chinesische Außenministerium erklärte, es habe "keine Kenntnis" von einem solchen Hacking, während die chinesische Botschaft in Großbritannien die Anschuldigungen als "unbegründet" bezeichnete und hinzufügte, dass Peking "Cyberattacken und Diebstahl in all ihren Formen" ablehne und bekämpfe.
Chinas Einfluss in Afrika ist in den letzten zwei Jahrzehnten schnell gewachsen. Aber wie mehrere afrikanische Länder werden auch Kenias Finanzen durch die wachsenden Kosten für die Bedienung der Auslandsschulden belastet - ein Großteil davon ist China geschuldet.
Die Hacking-Kampagne zeigt Chinas Bereitschaft, seine Spionagefähigkeiten einzusetzen, um wirtschaftliche und strategische Interessen im Ausland zu überwachen und zu schützen, so zwei der Quellen.
Die Hacks stellen eine dreijährige Kampagne dar, die acht kenianische Ministerien und Regierungsabteilungen, einschließlich des Präsidialamtes, zum Ziel hatte, so ein Geheimdienstanalyst in der Region. Der Analyst teilte Reuters auch Forschungsdokumente mit, die den Zeitplan der Angriffe, die Ziele und einige technische Daten im Zusammenhang mit der Kompromittierung eines Servers enthielten, der ausschließlich von Kenias wichtigster Spionagebehörde genutzt wird.
Ein kenianischer Cybersicherheitsexperte beschrieb ähnliche Hacking-Aktivitäten gegen das Außen- und das Finanzministerium. Alle drei Quellen baten darum, aufgrund der Sensibilität ihrer Arbeit nicht namentlich genannt zu werden.
"Ihre Behauptung über Hacking-Versuche durch chinesische Regierungsstellen ist nicht einzigartig", sagte das kenianische Präsidialamt und fügte hinzu, dass die Regierung Ziel "häufiger Infiltrationsversuche" von chinesischen, amerikanischen und europäischen Hackern gewesen sei.
"Soweit es uns betrifft, war keiner dieser Versuche erfolgreich", hieß es.
Weitere Einzelheiten wurden nicht genannt, und es wurden auch keine weiteren Fragen beantwortet.
Ein Sprecher der chinesischen Botschaft in Großbritannien sagte, China sei gegen "unverantwortliche Schritte, die Themen wie Cybersicherheit nutzen, um Zwietracht in den Beziehungen zwischen China und anderen Entwicklungsländern zu säen".
"China misst dem Schuldenproblem Afrikas große Bedeutung bei und arbeitet intensiv daran, Afrika bei der Bewältigung dieses Problems zu helfen", fügte der Sprecher hinzu.
DIE HACKS
Zwischen 2000 und 2020 hat China afrikanischen Ländern Kredite in Höhe von fast 160 Milliarden Dollar gewährt. Dies geht aus einer umfassenden Datenbank über chinesische Kredite hervor, die von der Boston University betrieben wird.
Kenia nutzte über 9 Milliarden Dollar an chinesischen Krediten, um den Bau oder die Modernisierung von Eisenbahnen, Häfen und Autobahnen voranzutreiben.
Peking wurde zum größten bilateralen Gläubiger des Landes und fasste auf dem wichtigsten ostafrikanischen Verbrauchermarkt und einem wichtigen logistischen Knotenpunkt an der afrikanischen Küste des Indischen Ozeans fest Fuß.
Ende 2019 jedoch, als der kenianische Cybersecurity-Experte gegenüber Reuters erklärte, er sei von den kenianischen Behörden hinzugezogen worden, um einen Hack eines regierungsweiten Netzwerks zu bewerten, trocknete die chinesische Kreditvergabe aus. Und Kenias finanzielle Engpässe wurden sichtbar.
Der vom kenianischen Cybersecurity-Experten untersuchte und China zugeschriebene Einbruch begann mit einem "Spearphishing"-Angriff Ende desselben Jahres, als ein kenianischer Regierungsangestellter unwissentlich ein infiziertes Dokument herunterlud, das es Hackern ermöglichte, das Netzwerk zu infiltrieren und auf andere Behörden zuzugreifen.
"Es wurden viele Dokumente aus dem Außenministerium und auch aus dem Finanzministerium gestohlen. Die Angriffe schienen sich auf die Schuldensituation zu konzentrieren", sagte der kenianische Cybersicherheitsexperte.
Eine andere Quelle - der in der Region tätige Geheimdienstanalyst - sagte, chinesische Hacker hätten eine weitreichende Kampagne gegen Kenia durchgeführt, die Ende 2019 begann und bis mindestens 2022 andauerte.
Nach Dokumenten, die der Analyst zur Verfügung gestellt hat, haben chinesische Cyberspione das Büro des kenianischen Präsidenten, das Verteidigungs-, das Informations-, das Gesundheits-, das Land- und das Innenministerium, das Zentrum für Terrorismusbekämpfung und andere Institutionen hartnäckigen und langanhaltenden Hackeraktivitäten ausgesetzt.
Die betroffenen Ministerien reagierten nicht auf Anfragen nach Kommentaren, lehnten Interviews ab oder waren nicht erreichbar.
Im Jahr 2021 hatten die Auswirkungen der COVID-19-Pandemie auf die Weltwirtschaft bereits dazu beigetragen, dass ein großer chinesischer Kreditnehmer - Sambia - seine Auslandsschulden nicht mehr bedienen konnte. Kenia gelang es, von China ein vorübergehendes Moratorium für die Schuldenrückzahlung zu erhalten.
Anfang Juli 2021 wurde in den Cybersecurity-Forschungsberichten des Geheimdienstanalysten in der Region detailliert beschrieben, wie die Hacker heimlich auf einen E-Mail-Server des kenianischen Geheimdienstes (NIS) zugriffen.
Reuters konnte bestätigen, dass die IP-Adresse des Opfers zum NIS gehörte. Der Vorfall wurde auch in einem Bericht des privaten Verteidigungsunternehmens beschrieben, der von Reuters überprüft wurde.
Reuters konnte nicht feststellen, welche Informationen bei den Hacks erbeutet wurden, und auch das Motiv für die Angriffe konnte nicht schlüssig ermittelt werden. In dem Bericht des Verteidigungsunternehmens heißt es jedoch, dass der Einbruch in den NIS möglicherweise darauf abzielte, Informationen darüber zu erhalten, wie Kenia seine Schuldenzahlungen verwalten wollte.
"Kenia spürt derzeit den Druck dieser Schuldenlast... da viele der mit chinesischen Krediten finanzierten Projekte noch nicht genügend Einnahmen generieren, um sich selbst zu finanzieren", heißt es in dem Bericht.
Eine von Reuters durchgeführte Überprüfung von Internetprotokollen, die die chinesische digitale Spionageaktivität beschreiben, zeigte, dass ein von den chinesischen Hackern kontrollierter Server auch auf einen gemeinsamen Webmail-Dienst der kenianischen Regierung zugriff, und zwar von Dezember 2022 bis Februar dieses Jahres.
Chinesische Beamte lehnten es ab, sich zu diesem jüngsten Einbruch zu äußern, und die kenianischen Behörden antworteten nicht auf eine entsprechende Anfrage.
'HINTERTÜR-DIPLOMATIE'
Das Verteidigungsunternehmen wies auf identische Werkzeuge und Techniken hin, die bei anderen Hacking-Kampagnen verwendet wurden, und identifizierte ein mit dem chinesischen Staat verbundenes Hacking-Team, das den Angriff auf den kenianischen Geheimdienst durchgeführt hat.
Die Gruppe ist in der Cybersecurity-Forschungsgemeinschaft als "BackdoorDiplomacy" bekannt, weil sie immer wieder versucht, die Ziele der chinesischen diplomatischen Strategie zu fördern.
Nach Angaben des slowakischen Cybersicherheitsunternehmens ESET setzt BackdoorDiplomacy bösartige Software gegen seine Opfer ein, um sich Zugang zu deren Netzwerken zu verschaffen und so deren Aktivitäten zu verfolgen.
Palo Alto Networks, ein US-amerikanisches Cybersicherheitsunternehmen, das die Aktivitäten von BackdoorDiplomacy verfolgt, bestätigte, dass die IP-Adresse der NIS-Hacker zu der Gruppe gehört und fügte hinzu, dass ihre vorherige Analyse zeigt, dass die Gruppe vom chinesischen Staat gesponsert wird.
Cybersecurity-Forscher haben Hacks von BackdoorDiplomacy dokumentiert, die auf Regierungen und Institutionen in einer Reihe von Ländern in Asien und Europa abzielen.
Übergriffe auf den Nahen Osten und Afrika scheinen weniger häufig zu sein, so dass der Fokus und das Ausmaß der Hackeraktivitäten in Kenia besonders bemerkenswert sind, so der Bericht des Verteidigungsunternehmens.
"Dieser Aspekt ist eindeutig eine Priorität für die Gruppe.
Die chinesische Botschaft in Großbritannien wies jede Beteiligung an den Hackerangriffen auf Kenia zurück und ging nicht direkt auf Fragen zur Beziehung der Regierung zu BackdoorDiplomacy ein.
"China ist ein Hauptopfer von Cyber-Diebstahl und -Angriffen und ein entschiedener Verfechter der Cybersicherheit", sagte ein Sprecher. (Berichte von Aaron Ross in Nairobi, James Pearson in London und Christopher Bing in Washington Zusätzliche Berichte von Eduardo Baptista in Peking Bearbeitung von Chris Sanders und Joe Bavier)
