DE
DE EN FR JA AR ES
Startseite | Blog | US-Telekom-Giganten unter Beschuss: "Salt Typhoon"-Cyberangriff mit China in Verbindung gebracht

US-Telekommunikationsriesen unter Beschuss: "Salz-Taifun"-Cyberangriff mit Verbindungen zu China

Geschrieben von: Leah Koonthamattam

5 min lesen - Oktober 15, 2024

Berichte von Cybersecurity-Forschern haben in den letzten Monaten massive Infiltrationskampagnen chinesischer Hacker aufgedeckt, die auf das Rückgrat des amerikanischen Internetzugangs abzielten.

Doch was genau müssen Sie über die angeblich von Peking unterstützte Hackergruppe Salt Typhoon wissen?

In diesem Blog geben wir einen Überblick über die aktuelle Situation der Cyberkriminalität, die Auswirkungen von staatlich geförderten Botnet-Kampagnen und die wichtigsten Erkenntnisse, die Sie mit Ihrem SOC-Team teilen sollten.

Berichte über Abhörmaßnahmen: Die Aufschlüsselung der Geschichte aus dem WSJ

Am 26. September 2024 veröffentlichte das Wall Street Journal berichtet ein fortschrittlicher, hartnäckiger Bedrohungsakteur mit dem Namen "Salt Typhoon", der es auf US-Internetdienstanbieter abgesehen hat.

Am 5. Oktober berichtete die Zeitung dann, dass Verizon und AT&T sowie Lumen Technologies, Giganten der US-Internet-Service-Provider-Branche, von der Salt Typhoon-Gruppe infiltriert wurden, was zu Untersuchungen durch US-Geheimdienstmitarbeiter und private Cybersicherheitsforscher führte.

Der Bericht des Wall Street Journal verdeutlichte die Panik über diese Sicherheitslücke, indem er feststellte, dass "Die US-Behörden bemühen sich, das ganze Ausmaß eines mit China in Verbindung stehenden Hacks bei großen US-Breitbandanbietern zu verstehen, während die Bedenken von Kongressmitgliedern zunehmen, dass der Einbruch ein verheerendes Versagen der Spionageabwehr darstellen könnte.

Die chinesische Botschaft hat nicht antworten Ein Sprecher der chinesischen Botschaft in Washington beschuldigte die USA, Beweise für die Verwicklung Chinas in diese Anschläge zu fabrizieren, was zu Spannungen führte.

Die Salt Typhoon-Hackergruppe verstehen

Die Salz-Taifun-Gruppe, auch GhostEmperor oder FamousSparrow genannt, ist eine bösartige Hackergruppe mit einem passenden Namen. Die US-Regierung und Microsoft-Forscher haben bestätigt, dass diese Gruppe mit dem chinesischen Auslandsgeheimdienst in Verbindung steht. FBI-Analysten haben festgestellt, dass die Aktivitäten von Salt Typhoon möglicherweise mit dem chinesischen Ministerium für Staatssicherheit in Verbindung stehen. Insbesondere wurde das Unternehmen in Verbindung gebracht mit APT40 (auch bekannt als Gingham Typhoon), eine Gruppe, die für ihre Expertise in der Sammlung von Informationen bekannt ist.

Oben ein Auszug aus einer aktuellen APT40 KAG-Bericht.

Sie sind für ihre Fähigkeit bekannt, komplexe Netzwerkarchitekturen zu infiltrieren, indem sie bestehende Schwachstellen ausnutzen, und haben sich auf Spionage und Datendiebstahl spezialisiert. Einige Forscher bringen diese Gruppe mit der berüchtigten Ausnutzung der ProxyLogon-Schwachstelle. Es zielte auf Microsoft Exchange-Server in der ganzen Welt im Jahr 2021.

Der Name "Salt Typhoon" wurde der Gruppe durch die Microsoft-Namenskonvention gegeben, wonach "Typhoon" mit Hackergruppen in Verbindung gebracht wird, die Verbindungen zu China oder der chinesischen Regierung haben.

Was ist mit den Auswirkungen von verletzten nationalen Internetanbietern?

Bislang scheinen drei US-amerikanische ISP-Unternehmen von der Salt Typhoon-Gruppe infiltriert worden zu sein: Verizon, AT&T und Lumen Technologies. Keines der betroffenen Unternehmen hat sich öffentlich zu diesem kritischen Vorfall geäußert.

Die Ermittlungen deuten darauf hin, dass die Hackergruppe auf die Hintertüren abzielte, die von diesen Unternehmen eingerichtet wurden, um der US-Regierung legitime und gesetzlich vorgeschriebene Überwachungs- und Abhörmöglichkeiten zu bieten. etwa 68% der amerikanischen Funkverkehr.

Diese von den Angreifern erlangten Netzzugänge könnten über Monate oder länger unbemerkt aufrechterhalten worden sein. Internetdienstanbieter sind Unternehmen, die Personen und Unternehmen den Zugang zum Internet ermöglichen. Sie verkaufen Geräte wie Modems und Router sowie E-Mail-Zugang und Netzpläne. All diese Geräte werden von Privatpersonen, Haushalten und Unternehmen für ihre täglichen Aktivitäten im Internet genutzt.

Breitbandanbieter sind in der Regel ein Hauptziel für APT-Gruppen, insbesondere für solche, die von Nationalstaaten unterstützt werden. Sie werden aufgrund der sensiblen Daten, die sie verarbeiten, und der kritischen Bedeutung der betreffenden Infrastruktur ins Visier genommen. Da ISPs in der Regel eines der ersten und wichtigsten Glieder in einem Lieferkettennetzwerk sind, kann eine Kompromittierung auf dieser Ebene eine Reihe von Risiken bedeuten.

Diese können wie folgt aussehen:

  • Diebstahl von geistigem Eigentum (IP)
  • Verletzung des Schutzes sensibler Daten
  • Bösartige Botnet-Kampagnen

Sie zielen auf alle kritischen Branchen ab, deren Geräte mit dem Internet verbunden sind, oder auf die Überwachung des Internetverkehrs einer Bevölkerung. Dies hat langfristige und tiefgreifende Auswirkungen auf die wirtschaftlichen und sicherheitspolitischen Kapazitäten eines Landes.

Einige bemerkenswerte Muster bei den jüngsten chinesischen Cyberangriffen

Der Angriff auf Salt Typhoon ist der jüngste in einer Reihe von Angriffen, die auf Cyber-Bedrohungen aus China zurückzuführen sind.

Flachs-Taifun

Im September dieses Jahres hat das FBI eine massive Botnet-Kampagne einer anderen Gruppe namens "Flax Typhoon" identifiziert und entschärft. Das FBI berichtete, dass diese Gruppe auf Anweisung der chinesischen Regierung über 260.000 Netzwerkgeräte infiziert weltweit. 47,9% davon wurden in den Vereinigten Staaten gefunden, gefolgt von 8% in Vietnam und 7,2% in Deutschland. Es wird vermutet, dass die Kampagne im Mai 2020 begann und ein mehrstufiges Netzwerk mit Kontrollsystemen auf Unternehmensebene aufgebaut hat. Diese verarbeiteten die große Zahl der infizierten Einheiten in den nächsten vier Jahren, bis sie 2024 entdeckt wurde.

Eine aktuelle Mitteilung des FBI über diese zunehmenden Angriffe aus der VR China.

Volt-Taifun

Anfang dieses Jahres haben die amerikanischen Strafverfolgungsbehörden auch eine andere ähnliche Gruppe mit dem Namen "Volt Typhoon" zerschlagen. Sie versuchte in erster Linie, die Regierung der Vereinigten Staaten und ihre Verbündeten im Rahmen der Five Eyes Intelligence Alliance ins Visier zu nehmen. Volt-Typhoonauch bekannt als Vanguard Panda, Bronze Silhouette und andere, kompromittierte Tausende von Geräten auf der ganzen Welt. Er wurde im Mai 2023 von Microsoft-Forschern öffentlich identifiziert.

Volt Typhoon selbst ist seit Mitte 2021 aktiv. Er verwendet Schadsoftware, die auf vernetzte Systeme mit schwachen Verwaltungspasswörtern und veralteten Systemversionen abzielt. Im Jahr 2023 kompromittierte die Hackergruppe das Wasserversorgungssystem in Guam, einem Territorium der USA im Pazifik. Obwohl die Systeme bis zur Entdeckung der Schadsoftware intakt und online blieben, waren die Behörden besorgt über diese Bedrohung. Es wurde vermutet, dass damit die Kommunikation zwischen den USA und Asien im Falle einer militärischen Eskalation in der Region gestört werden sollte. Es wurde auch berichtet, dass der amerikanischen Militärstation auf der Insel der Zugang zur Wasserversorgung verwehrt werden sollte.

Möchten Sie mehr über Phishing- und Ransomware-Bedrohungen erfahren, die auf Krankenhäuser abzielen? Lesen Sie unseren neuesten Leitfaden, Krankenhäuser und Ransomware: Eine invasive Krankheit.

Einpacken

Hier ist eine kurze Zusammenfassung der bisherigen Geschichte:

  • Salz-Taifun ist die jüngste in einer langen Liste von Cyber-Bedrohungsgruppen, die es auf kritische amerikanische Infrastrukturen abgesehen haben. Sie wird den Bemühungen der chinesischen Regierung um die Sammlung ausländischer Informationen und Cyberspionage zugeschrieben.
  • Diese Angriffe unterstreichen die Bedeutung der Cybersicherheit für die Zukunft geopolitischer Konflikte und nationaler Sicherheitsbelange.
  • Rechtmäßiges Abhörsystems und Hintertüren, die von legitimen Strafverfolgungsbehörden in kritischen Kommunikationsinfrastrukturen verwendet werden, scheinen das schwache Glied zu sein. Es war diese Verbindung, die es böswilligen Akteuren ermöglichte, Zugang zu erhalten.
  • Gründlich und regelmäßige Prüfung der Zugangsprotokolle und ungewöhnliche Aktivitätsmuster bei Telekommunikationsunternehmen und ihren Kunden erforderlich sind.
  • Debatten über rechtmäßige Abhörsysteme und in die kritische Kommunikationsinfrastruktur eingebaute Hintertüren wurden erneuert.

Interessieren Sie sich für weitere großartige Inhalte? Sehen Sie sich unsere aktuelle Microsoft SMB-Analyse an Blog. Sie können auch unseren sozialen Netzwerken folgen; LinkedIn, Twitter/Xund Facebook, um wöchentlich neue Inhalte und Analysen zu erhalten.

Über den Autor

Leah Koonthamattam

Leah ist eine erfahrene Cybersecurity-Analystin mit über zwei Jahren Branchenerfahrung bei CybelAngel. Sie hat einen Hintergrund in Geopolitik und Sicherheit.

lies alle Artikel