USA und Microsoft warnen vor staatlich geförderten chinesischen Cyber-Attacken die kritische Infrastrukturen angreifen
Fr., 26. Mai 2023
Washington — Staatlich geförderte chinesische Hacker sind in kritische US-Infrastrukturnetzwerke eingedrungen, erklärten die Vereinigten Staaten, ihre westlichen Verbündeten und Microsoft am Mittwoch und warnten gleichzeitig, dass ähnliche Spionageangriffe weltweit stattfinden könnten.
Microsoft hob Guam, ein US-Territorium im Pazifischen Ozean mit einem wichtigen militärischen Außenposten, als eines der Ziele hervor, sagte aber, dass auch anderswo in den Vereinigten Staaten “bösartige” Aktivitäten festgestellt worden seien.
Die Hacking-Aktivitäten mit der Bezeichnung “Volt Typhoon” hätten Mitte 2021 begonnen und zielten wahrscheinlich darauf ab, die Vereinigten Staaten im Falle eines Konflikts in der Region zu behindern.
“Microsoft schätzt mit mäßiger Zuversicht ein, dass diese Volt Typhoon-Kampagne die Entwicklung von Fähigkeiten verfolgt, die die kritische Kommunikationsinfrastruktur zwischen den Vereinigten Staaten und der asiatischen Region während zukünftiger Krisen stören könnten”, heißt es in der Erklärung.
“Bei dieser Kampagne sind Organisationen aus den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung betroffen.”
“Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur beabsichtigt, Spionage zu betreiben und den Zugang so lange wie möglich unentdeckt zu lassen.”
Microsofts Erklärung fiel zeitlich mit einer Mitteilung der US-amerikanischen, australischen, kanadischen, neuseeländischen und britischen Behörden zusammen.
Darin hieß es, dass ein “staatlich geförderter Cyber-Akteur” aus China hinter Volt Typhoon stecke und dass das Hacking wahrscheinlich weltweit stattfinde.
“Diese Aktivität betrifft Netzwerke in kritischen US-Infrastruktursektoren, und die verfassenden Behörden gehen davon aus, dass der Akteur die gleichen Techniken gegen diese und andere Sektoren weltweit anwenden könnte”, heißt es in der Mitteilung.
Die Vereinigten Staaten und ihre Verbündeten erklärten, dass es sich bei den Aktivitäten um eine Taktik handelt, bei der man sich die Vorteile eingebauter Netzwerk-Tools zunutze macht, um sich in normale Windows-Systeme zu integrieren.
Es wurde gewarnt, dass die Hacker dann legitime Systemverwaltungsbefehle einbauen könnten, die “harmlos” erscheinen.
Hochentwickelt
Laut Microsoft versuchte Volt Typhoon, sich in normale Netzwerkaktivitäten einzuschleusen, indem es den Datenverkehr über kompromittierte Netzwerkgeräte für kleine Büros und Heimbüros, einschließlich Router, Firewalls und VPN-Hardware, leitete.
“Es wurde auch beobachtet, dass sie angepasste Versionen von Open-Source-Tools verwenden”, so Microsoft.
Microsoft und die Sicherheitsbehörden haben Richtlinien für Unternehmen veröffentlicht, mit denen sie versuchen können, die Hackerangriffe zu erkennen und zu bekämpfen.
Die Direktorin der US-Behörde für Cybersicherheit und Infrastruktursicherheit, Jen Easterly, veröffentlichte ebenfalls eine Warnung im Zusammenhang mit Volt Typhoon.
"Seit Jahren führt China weltweit Operationen durch, um geistiges Eigentum und sensible Daten von kritischen Infrastrukturorganisationen auf der ganzen Welt zu stehlen", sagte Easterly.
"Die heutige Empfehlung, die in Zusammenarbeit mit unseren US-amerikanischen und internationalen Partnern herausgegeben wurde, zeigt, dass China hochentwickelte Mittel einsetzt, um die kritischen Infrastrukturen unseres Landes anzugreifen."
"Diese gemeinsame Empfehlung wird Netzwerkverteidigern mehr Einblicke geben, wie sie diese bösartigen Aktivitäten erkennen und entschärfen können."
China gab keine unmittelbare Antwort auf die Anschuldigungen.
Es bestreitet jedoch routinemäßig die Durchführung von staatlich geförderten Cyberangriffen.
China wiederum beschuldigt die Vereinigten Staaten regelmäßig der Cyberspionage.
Während China und Russland seit langem kritische Infrastrukturen ins Visier nehmen, bot Volt Typhoon laut John Hultquist, Chefanalyst des US-Cybersicherheitsunternehmens Mandiant, neue Einblicke in chinesische Hackerangriffe.
"Chinesische Cyberbedrohungsakteure sind einzigartig unter ihresgleichen, da sie nicht regelmäßig auf zerstörerische und störende Cyberangriffe zurückgreifen", sagte er.
"Diese Enthüllung ist eine seltene Gelegenheit, diese Bedrohung zu untersuchen und sich auf sie vorzubereiten.
