Chinesische Hacker seit Jahren unentdeckt in US-KRITIS aktiv
Die US-Regierung meldete, dass die Hackergruppe Volt Typhoon seit mindestens fünf Jahren in einige kritische Infrastrukturnetze des Landes eingedrungen ist. Die Gruppe gilt als besonders versiert und gefährlich – und als Werkzeug der chinesischen Regierung, die sie mit staatlichen Mitteln fördert.
Der Bedrohungsakteur Volt Typhoon hat es auf Bereiche wie Kommunikation, Energie, Transport sowie Wasser- und Abwassersysteme in den USA und Guam abgesehen. Laut US-Regierung weichen die Ziele und das Verhalten von Volt Typhoon erheblich von den traditionellen Cyberspionage- oder Nachrichtendienstoperationen ab. Es wird mit hoher Wahrscheinlichkeit angenommen, dass die Akteure sich in IT-Netzwerken positionieren, um letztendlich in OT-Anlagen einzudringen und dort Funktionen zu stören.
Ihr Ziel ist es, sich über einen längeren Zeitraum in IT-Netzwerken zu etablieren, um im Falle einer größeren Krise oder eines Konflikts mit den USA gezielt störende oder zerstörerische Cyberangriffe gegen kritische Infrastrukturen durchführen zu können.
Diese Warnung und Empfehlung wurden von der Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), der Nationalen Sicherheitsbehörde (NSA) und dem Federal Bureau of Investigation (FBI) herausgegeben und von anderen Nationen unterstützt, die Teil des Geheimdienstbündnisses Five Eyes (FVEY) sind, zu dem neben den USA auch Australien, Kanada, Neuseeland und Großbritannien gehören.
Angriffe kommen aus China
Volt Typhoon, auch bekannt als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda oder Voltzite, ist eine geheime Cyberspionage-Gruppe mit Sitz in China. Ihre Aktivitäten sollen seit mindestens Juni 2021 im Gange sein – wahrscheinlich aber noch deutlich länger.
Im Mai 2023 wurde die Gruppe erstmals öffentlich bekannt, als FVEY und Microsoft enthüllten, dass es Volt Typhoon gelungen war, längere Zeit unentdeckt in kritischen Infrastrukturen in den USA und Guam Fuß zu fassen. Hauptangriffstechnik sind sogenannte „living-off-the-land“-Techniken (LotL).
Diese Vorgehensweise, bei der die Angreifer sich unauffällig verhalten und ihre bösartigen Aktivitäten mit dem legitimen Systemverhalten verweben, erschwert es selbst Organisationen mit fortgeschrittenen Sicherheitsmaßnahmen, die Angriffe zu erkennen, so das britische National Cyber Security Centre (NCSC).
Volt Typhoon nutzt außerdem oft Multi-Hop-Proxys wie KV-botnet, um den bösartigen Datenverkehr durch ein Netzwerk kompromittierter Router und Firewalls in den USA zu leiten und so seinen wahren Ursprung zu verschleiern.
Nutzung von Open-Source-Tools
Das Cybersicherheitsunternehmen CrowdStrike hat in einem Bericht vom Juni 2023 darauf hingewiesen, dass Volt Typhoon eine breite Palette von Open-Source-Tools einsetzt, um strategische Ziele gegen eine begrenzte Anzahl von Opfern zu erreichen.
„Bevor sie angreifen, führen Volt Typhoon-Akteure gründliche Untersuchungen durch, um mehr über die Zielorganisation und ihre Umgebung zu erfahren. Sie passen ihre Taktiken, Techniken und Verfahren (TTPs) an die spezifische Situation beim Opfer an und setzen kontinuierlich Ressourcen ein, um lange Zeit unentdeckt zu bleiben und ein umfassendes Verständnis der Zielumgebung zu entwickeln – auch nachdem sie sie bereits infiltriert haben“, so die Agenturen. „Die Gruppe nutzt auch legitime Konten und verfügt über eine robuste operative Sicherheit, was zusammen eine langfristig unentdeckte Anwesenheit ermöglicht.
Darüber hinaus hat die Gruppe durch Ausnutzung von Schwachstellen immer wieder versucht, die Rechte ihrer Accounts innerhalb des Netzwerks zu erweitern, bis hin zu Administratorrechten. Anschließend wurde der erweiterte Zugang genutzt, um seitliche Bewegungen durchzuführen, Aufklärungsarbeiten zu erledigen und letztendlich die gesamte Domäne zu kompromittieren.
APT
Das ultimative Ziel der Kampagne besteht darin, den Zugang zu den kompromittierten Umgebungen aufrechtzuerhalten und sie über Jahre hinweg „methodisch“ erneut ins Visier zu nehmen, um ihre unbefugten Zugriffe zu validieren und zu erweitern. Diese akribische Vorgehensweise zeigt sich den Behörden zufolge in Fällen, in denen sie wiederholt Domain-Anmeldedaten exfiltriert haben, um den Zugang zu aktuellen und gültigen Konten sicherzustellen.
„Neben gestohlenen Zugangsdaten setzen die Angreifer auf ‚living-off-the-land‘-Techniken und vermeiden es, Malware-Reste auf den Systemen zu hinterlassen, die einen Alarm auslösen könnten“, so CISA, FBI und NSA. Ihr Fokus auf Geheimhaltung und operative Sicherheit ermöglicht es ihnen, langfristig unentdeckt zu bleiben. Darüber hinaus verbessert Volt Typhoon seine operative Sicherheit durch gezieltes Löschen von Protokollen, um Aktionen innerhalb der infiltrierten Systeme zu verschleiern.
Diese Entwicklung kommt zu einem Zeitpunkt, an dem das Citizen Lab ein Netzwerk von mindestens 123 Websites aufgedeckt hat, die sich in 30 Ländern als lokale Nachrichtenquellen ausgeben. Diese Websites verbreiten pro-chinesische Inhalte im Rahmen einer umfassenden Beeinflussungskampagne, die mit einer PR-Firma namens Shenzhen Haimaiyunxiang Media Co. in Verbindung gebracht wird.
Die in Toronto ansässige digitale Überwachungsbehörde nannte die Beeinflussungsaktion PAPERWALL und stellte fest, dass sie Ähnlichkeiten mit HaiEnergy aufweist, wenn auch mit unterschiedlichen Betreibern und einzigartigen TTPs.
„Ein zentrales Merkmal von PAPERWALL, das im gesamten Netzwerk von Websites zu beobachten ist, ist die Kurzlebigkeit seiner aggressivsten Komponenten, wobei Artikel, die Pekings Kritiker angreifen, routinemäßig einige Zeit nach ihrer Veröffentlichung von diesen Websites entfernt werden“, so das Citizen Lab.
Ein Sprecher der chinesischen Botschaft in Washington äußerte sich dazu laut Reuters folgendermaßen: „Es ist typisch für Vorurteile und Doppelmoral zu behaupten, dass die pro-chinesischen Inhalte und Berichte ‚Desinformation‘ sind, während anti-chinesische Inhalte und Berichte als ‚wahre Informationen‘ betrachtet werden.“