Zwei US-Senatoren werfen dem Verteidigungsministerium (DOD) vor, nicht genug zu tun, um die Kommunikation seines Militärpersonals zu schützen, da die US-Regierung mit einer laufenden chinesischen Hackerkampagne gegen amerikanische Telefon- und Internetgiganten zu kämpfen hat. Die Senatoren sagen, das Verteidigungsministerium verlasse sich immer noch zu stark auf altmodische Festnetzanrufe sowie unverschlüsselte Mobilfunkanrufe und Textnachrichten, die anfällig für die Ausspionierung durch ausländische Spione seien.
Der demokratische Senator Ron Wyden aus Oregon und der republikanische Senator Eric Schmitt aus Missouri verweisen ausdrücklich auf Bedrohungen wie die chinesische Regierungsspionagegruppe Salt Typhoon, der kürzlich vorgeworfen wurde, in große US-Telekommunikationsanbieter wie AT&T und Verizon einzudringen, um sie auszuspionieren Amerikaner.
„Die weit verbreitete Einführung unsicherer, proprietärer Tools ist das direkte Ergebnis der Tatsache, dass die Führung des US-Verteidigungsministeriums es versäumt hat, die Verwendung einer standardmäßigen Ende-zu-Ende-Verschlüsselung, einer Best Practice für Cybersicherheit, zu fordern, und dass sie bei der Bewertung verschiedener Kommunikationsplattformen der Kommunikationssicherheit keine Priorität eingeräumt hat. ” die Senatoren schrieb in einem parteiübergreifenden Brief an den Regierungswächter des Verteidigungsministeriums. „Das Versäumnis des Verteidigungsministeriums, seine nicht klassifizierte Sprach-, Video- und Textkommunikation mit Ende-zu-Ende-Verschlüsselungstechnologie zu sichern, hat es unnötig anfällig für ausländische Spionage gemacht.“
Die Senatoren erwähnen auch SS7, ein jahrzehntealtes Protokoll, das Telefonanbieter auf der ganzen Welt immer noch zur Weiterleitung von Anrufen und Textnachrichten verwenden – und das routinemäßig für Spionage missbraucht wird – und sein Nachfolgeprotokoll Diameter als Schwachstellen, denen DOD-Mitarbeiter angesichts der Tatsache immer noch ausgesetzt sind dass globale Telekommunikationsunternehmen noch neue Methoden zum Schutz regulärer Anrufe und Textnachrichten während der Übertragung einführen müssen.
Wyden und Schmitt fordern das Verteidigungsministerium auf, seine Verträge mit den US-Telekommunikationsunternehmen zu überdenken und stattdessen „mit den vertraglich vereinbarten Mobilfunkanbietern neu zu verhandeln, um von ihnen zu verlangen, sinnvolle Cyber-Abwehrmaßnahmen gegen Überwachungsbedrohungen einzuführen und auf Anfrage ihre Cybersicherheitsprüfungen Dritter offenzulegen.“ mit DOD.“
Der Brief der Senatoren enthält zwei Whitepapers – eines von Anfang Juli und eines von Oktober –, die das Verteidigungsministerium an Wydens Büro geschickt hat und in denen es eine Reihe von Fragen im Zusammenhang mit der Cybersicherheitslage des Ministeriums beantwortet.
Auf eine Frage zu SS7 räumt der Chief Information Officer des Verteidigungsministeriums ein, dass das Verteidigungsministerium der Meinung ist, dass SS7 und Diameter nicht sicher sind, und schreibt, dass es „begrenzten Schutz“ gegen Schwachstellen gibt, die die Träger selbst haben. „Deshalb verschlüsseln die vom Verteidigungsministerium verwalteten mobilen Lösungen Daten während der Übertragung, um sie vor passiver Erfassung zu schützen.“
Gleichzeitig schrieb der CIO, dass das Verteidigungsministerium keine eigenen Prüfungen durchgeführt habe, sondern sich stattdessen auf eigene und von Dritten in Auftrag gegebene Prüfungen der Telekommunikationsanbieter verlassen habe. Das Verteidigungsministerium hat diese Prüfungen jedoch nicht überprüft, da die Fluggesellschaften sie als vertrauliche Informationen zwischen Anwalt und Mandant betrachten.
Der CIO gab außerdem zu, dass das Verteidigungsministerium weder Roaming deaktiviert noch SS7- und Diameter-Verkehr abgelehnt hat, selbst für Benutzer des Verteidigungsministeriums in Russland, China und anderen Hochrisikoländern, die dafür bekannt sind, Cyberangriffe auf Telefone durchzuführen.
Jeffrey Castro, ein Sprecher des Generalinspekteurs des Verteidigungsministeriums, sagte gegenüber Tech, dass die Aufsichtsbehörde den Brief erhalten habe und ihn prüfe.