Von den Cybersicherheitsrisiken, mit denen die Vereinigten Staaten heute konfrontiert sind, sind nur wenige größer als die potenziellen Sabotagefähigkeiten, die von von China unterstützten Hackern ausgehen, die hochrangige US-Beamte als „epochale Bedrohung“ bezeichnet haben.
In den letzten Monaten sagten US-Geheimdienstmitarbeiter, dass von der chinesischen Regierung unterstützte Hacker tief in die Netzwerke wichtiger US-Infrastrukturen eingedrungen seien, darunter Wasser-, Energie- und Transportanbieter. Das Ziel besteht laut offiziellen Angaben darin, den Grundstein für potenziell zerstörerische Cyberangriffe im Falle eines künftigen Konflikts zwischen China und den USA zu legen, beispielsweise über eine mögliche chinesische Invasion in Taiwan.
„Chinas Hacker positionieren sich auf der amerikanischen Infrastruktur, um Chaos anzurichten und amerikanischen Bürgern und Gemeinschaften realen Schaden zuzufügen, falls oder wenn China entscheidet, dass die Zeit für einen Angriff gekommen ist“, sagte FBI-Direktor Christopher Wray den Gesetzgebern Anfang des Jahres.
Die US-Regierung und ihre Verbündeten sind inzwischen gegen die „Typhoon“-Familie der chinesischen Hackergruppen vorgegangen und haben neue Details zu den von ihnen ausgehenden Bedrohungen veröffentlicht.
Im Januar griffen die USA unter dem Namen „Volt Typhoon“ eine Gruppe von Hackern der chinesischen Regierung an, deren Aufgabe es war, den Boden für zerstörerische Cyberangriffe zu bereiten. Später im September kaperten die Bundesbehörden ein Botnetz, das von einer anderen chinesischen Hackergruppe namens „Flax Typhoon“ betrieben wurde, die sich als privates Unternehmen in Peking ausgab und deren Aufgabe es war, die Aktivitäten der Hacker der chinesischen Regierung zu verschleiern. Seitdem ist eine neue von China unterstützte Hackergruppe namens „Salt Typhoon“ entstanden, die in der Lage ist, Informationen über Amerikaner – und potenzielle Ziele der US-Überwachung – zu sammeln, indem sie die Abhörsysteme amerikanischer Telefon- und Internetanbieter kompromittiert.
Folgendes wissen wir bisher über die chinesischen Hackergruppen, die sich auf einen Krieg vorbereiten.
Volt-Taifun
Volt Typhoon repräsentiert eine neue Generation von von China unterstützten Hackergruppen; Ziel sei nicht mehr nur der Diebstahl sensibler US-Geheimnisse, sondern vielmehr die Vorbereitung, die „Mobilisierungsfähigkeit“ des US-Militärs zu stören, so der FBI-Direktor.
Microsoft erstmals identifiziert Volt Typhoon im Mai 2023 und stellte fest, dass die Hacker seit Mitte 2021 Netzwerkgeräte wie Router, Firewalls und VPNs gezielt angegriffen und kompromittiert hatten, als Teil einer fortlaufenden und konzertierten Anstrengung, tiefer in die kritische Infrastruktur der USA einzudringen. Tatsächlich ist es wahrscheinlich, dass die Hacker schon viel länger aktiv waren; möglicherweise für bis zu fünf Jahre.
Volt Typhoon hat in den Monaten nach dem Microsoft-Bericht Tausende von mit dem Internet verbundenen Geräten kompromittiert und dabei Schwachstellen in mit dem Internet verbundenen Geräten ausgenutzt, die als „End-of-Life“ galten und daher keine Sicherheitsupdates mehr erhielten. Auf diese Weise gelang es der Hackergruppe anschließend, die IT-Umgebungen mehrerer kritischer Infrastruktursektoren zu kompromittieren, darunter Luftfahrt, Wasser, Energie und Transport, und sich so für die Aktivierung zukünftiger potenziell störender Cyberangriffe zu positionieren.
„Dieser Akteur betreibt nicht die stille Informationsbeschaffung und den Diebstahl von Geheimnissen, die in den USA die Norm waren. Er untersucht sensible kritische Infrastrukturen, um wichtige Dienste zu unterbrechen, falls und wann der Befehl aufgehoben wird“, sagte John Hultquist, Chef Analyst beim Sicherheitsunternehmen Mandiant.
Die US-Regierung sagte im Januar dass es ein von Volt Typhoon genutztes Botnetz, das aus Tausenden von gekaperten Routern für kleine Büro- und Heimnetzwerke in den USA bestand und die die chinesische Hackergruppe nutzte, um ihre böswilligen Aktivitäten zu verbergen, die auf kritische Infrastruktur in den USA abzielten, erfolgreich zerstört hatte. Das FBI sagte, es sei in der Lage gewesen, die Malware von den gekaperten Routern zu entfernen und damit die Verbindung der chinesischen Hackergruppe zum Botnetz zu trennen.
Flachs-Taifun
Flax Taifun, erster Einsatz ein Bericht von Microsoft vom August 2023ist eine weitere von China unterstützte Hackergruppe, die laut offiziellen Angaben unter dem Deckmantel eines börsennotierten Cybersicherheitsunternehmens mit Sitz in Peking operiert. Laut US-Beamten hat das Unternehmen Integrity Technology Group seine Verbindungen zur chinesischen Regierung öffentlich anerkannt.
Im September gab die US-Regierung bekannt, dass sie die Kontrolle über ein weiteres Botnetz übernommen habe, das von Flax Typhoon verwendet wird und eine benutzerdefinierte Variante der berüchtigten Mirai-Malware nutzt, die aus Hunderttausenden mit dem Internet verbundenen Geräten besteht.
US-Beamte sagten damals, dass das von Flax Typhoon kontrollierte Botnetz dazu genutzt wurde, „böswillige Cyberaktivitäten durchzuführen, die als routinemäßiger Internetverkehr von den infizierten Verbrauchergeräten getarnt waren“. Staatsanwälte sagten, das von Flax Typhoon betriebene Botnetz habe es anderen von der chinesischen Regierung unterstützten Hackern ermöglicht, „in Netzwerke in den USA und auf der ganzen Welt einzudringen, um Informationen zu stehlen und unsere Infrastruktur zu gefährden“.
Laut Microsofts Profil der von der Regierung unterstützten Gruppe ist Flax Typhoon seit Mitte 2021 aktiv und zielt vor allem auf „Regierungsbehörden und Bildungseinrichtungen, kritische Fertigungs- und Informationstechnologieorganisationen in Taiwan“ ab. Das Justizministerium sagte, es bestätige die Ergebnisse von Microsoft und dass Flax Typhoon auch „mehrere US-amerikanische und ausländische Unternehmen angegriffen“ habe.
Salz-Taifun
Die neueste – und möglicherweise bedrohlichste – Gruppe in Chinas staatlich unterstützter Cyber-Armee, die in den letzten Monaten aufgedeckt wurde, ist Salt Typhoon.
Salt Typhoon sorgte im Oktober für Schlagzeilen wegen einer weitaus komplexeren Operation. Als erstmals im Wall Street Journal berichtetEs wird angenommen, dass die mit China verbundene Hackergruppe die Abhörsysteme mehrerer US-amerikanischer Telekommunikations- und Internetanbieter kompromittiert hat, darunter AT&T, Lumen (ehemals CenturyLink) und Verizon.
Entsprechend ein BerichtMöglicherweise hat sich Salt Typhoon über kompromittierte Cisco-Router Zugang zu diesen Organisationen verschafft. Die US-Regierung soll sich in einem frühen Stadium ihrer Ermittlungen befinden.
Während das Ausmaß der Kompromittierung des Internetanbieters noch unbekannt ist, sagte das Journal unter Berufung auf nationale Sicherheitsquellen, dass der Verstoß „potenziell katastrophal“ sein könnte. Durch das Hacken von Systemen, die Strafverfolgungsbehörden für die gerichtlich genehmigte Sammlung von Kundendaten nutzen, hat sich der Salt Typhoon möglicherweise Zugang zu Daten und Systemen verschafft, die einen Großteil der Anfragen der US-Regierung enthalten – einschließlich der potenziellen Identitäten chinesischer Ziele der US-Überwachung.
Es ist noch nicht bekannt, wann der Verstoß stattfand, aber WSJ berichtet, dass die Hacker möglicherweise „über Monate oder länger“ Zugriff auf die Abhörsysteme der Internetanbieter hatten.