Gezielte Attacke auf US-Telekommunikationsnetze
Der Netzwerkausrüster Cisco hat bestätigt, dass eine chinesische Hackergruppe namens Salt Typhoon in Netzwerke großer US-Telekommunikationsunternehmen eingedrungen ist. Dazu nutzten sie vermutlich eine bekannte Sicherheitslücke.
Während des Angriffs, der eine seit Längerem bekannte Schwachstelle ausnutzte (CVE-2018-0171), wurden echte Anmeldedaten der Opfer erbeutet. Laut den Sicherheitsexperten von Cisco Talos handelt es sich um eine hoch entwickelte, gut finanzierte Gruppe, die mit extremer Geduld und akribischer Planung vorging. Salt Typhoon gelang es wohl, sich in manchen Netzwerken über drei Jahre lang unentdeckt zu halten. Dabei waren sie nicht nur auf Cisco-Geräte beschränkt, sondern konnten sich Zugang zu Infrastrukturen verschiedener Hersteller verschaffen.
Die Attacke weiset typische Merkmale sogenannter Advanced Persistent Threats (APT) auf, also staatlich unterstützter Cyberangriffe, die über lange Zeiträume hinweg unerkannt bleiben sollen. Ziel solcher Angriffe ist es meist, sich dauerhaft in einem Netzwerk festzusetzen, sensible Daten auszuspähen und tiefgreifenden Zugang zu kritischen Infrastrukturen zu erhalten.
Cisco konnte keine Hinweise darauf finden, dass die Angreifer noch weitere bekannte Sicherheitslücken ausgenutzt haben. Ein Bericht von Recorded Future deutet jedoch darauf hin, dass es Angriffsversuche gab, bei denen die Schwachstellen CVE-2023-20198 und CVE-2023-20273 genutzt wurden, um in Netzwerke einzudringen.
Taktiken und Techniken von Salt Typhoon
Ein entscheidender Teil der Angriffsstrategie bestand darin, gestohlene, aber legitime Zugangsdaten zu nutzen, um sich unerkannt in den Systemen zu bewegen. Wie genau die Hacker an diese Anmeldedaten gelangten, ist bislang unklar. Möglich ist, dass sie Passwörter aus Netzwerkkonfigurationen ausgelesen oder schwache lokale Passwörter entschlüsselt haben.
Besonders alarmierend ist, dass die Angreifer auch Datenverkehr abgefangen haben, in dem sich vertrauliche Informationen wie SNMP-, TACACS- und RADIUS-Schlüssel befanden. Diese Schlüssel sind für die Authentifizierung von Netzwerkgeräten essenziell, sodass die Hacker mit deren Hilfe zusätzliche Zugangsdaten gewinnen und ihre Kontrolle über die Netzwerke weiter ausbauen konnten.
Neben diesen Techniken setzten die Angreifer auf eine Strategie, die als „Living-Off-the-Land“ (LOTL) bezeichnet wird. Dabei werden keine auffälligen Schadprogramme in das Zielnetzwerk eingeschleust, sondern die vorhandene, vertrauenswürdige Infrastruktur selbst wird missbraucht. So nutzten sie beispielsweise kompromittierte Netzwerkgeräte als Sprungbrett, um von einem Telekommunikationsnetz zum nächsten zu gelangen. Das hatte den Vorteil, dass sie sich unauffällig im Netzwerk bewegten und nur schwer entdeckt werden konnten. Zusätzlich richteten sie eigene Benutzerkonten ein, aktivierten versteckte Fernzugriffe wie SSH und manipulierten Netzwerkkonfigurationen, um ihre Präsenz dauerhaft zu sichern.
Besonders perfide war der Einsatz einer maßgeschneiderten Schadsoftware namens „JumbledPath„, die es den Angreifern ermöglichte, Netzwerkverkehr auf entfernten Cisco-Geräten mitzuschneiden. Dabei wurde ein speziell definierter „Jump-Host“ genutzt, um die Kommunikation über verschiedene Geräte zu verschleiern. Die Software konnte zudem Logdateien löschen, um ihre Spuren zu verwischen. Zu den regelmäßig entfernten Dateien gehörten unter anderem .bash_history, auth.log, lastlog, wtmp und btmp. Diese Maßnahmen erschwerten eine nachträgliche Untersuchung und machten eine forensische Analyse nahezu unmöglich.
Cisco stellte außerdem fest, dass die Angreifer gezielt die Loopback-Adresse eines kompromittierten Switches veränderten, um damit SSH-Verbindungen zu anderen Geräten im Netzwerk aufzubauen. Dadurch konnten sie Zugriffslisten (ACLs) umgehen, die eigentlich dazu gedacht sind, unbefugte Zugriffe zu verhindern.
Weitere Bedrohungen für Cisco-Geräte
Neben den Aktivitäten von Salt Typhoon wurde auch eine weitere Angriffswelle auf Cisco-Geräte mit der Smart Install (SMI)-Funktion festgestellt. Diese Angriffe stehen jedoch nicht in Verbindung mit Salt Typhoon und konnten keinem bekannten Bedrohungsakteur zugeordnet werden. Dennoch zeigt sich, dass Schwachstellen in Netzwerkinfrastrukturen ein attraktives Ziel für Cyberkriminelle und staatlich unterstützte Hackergruppen sind.
Der Angriff auf US-Telekommunikationsnetze verdeutlicht, wie gefährlich eine Kombination aus veralteten Sicherheitslücken und gestohlenen Zugangsdaten sein kann. Selbst wenn ein Unternehmen regelmäßig Sicherheitsupdates einspielt, kann der Verlust von Log-in-Daten dazu führen, dass Angreifer unbemerkt in Netzwerke eindringen und sich über Jahre hinweg festsetzen. Salt Typhoon ist ein weiteres Beispiel für staatlich gelenkte Cyberangriffe, die darauf abzielen, kritische Infrastrukturen langfristig zu infiltrieren und sensible Informationen auszuspähen.