Von den Cybersicherheitsrisiken, mit denen die Vereinigten Staaten heute konfrontiert sind, sind nur wenige größer als die potenziellen Sabotagefähigkeiten, die von von China unterstützten Hackern ausgehen, die hochrangige nationale Sicherheitsbeamte der USA als „epochale Bedrohung“ bezeichnet haben.
Die USA sagen, dass von der chinesischen Regierung unterstützte Hacker – in einigen Fällen seit Jahren – tief in die Netzwerke kritischer US-Infrastrukturen eingedrungen seien, darunter Wasser-, Energie- und Transportanbieter. Das Ziel besteht laut offiziellen Angaben darin, den Grundstein für potenziell zerstörerische Cyberangriffe im Falle eines künftigen Konflikts zwischen China und den Vereinigten Staaten zu legen, etwa wenn dieser endet eine mögliche chinesische Invasion in Taiwan.
„Chinas Hacker positionieren sich auf der amerikanischen Infrastruktur, um Chaos anzurichten und amerikanischen Bürgern und Gemeinschaften realen Schaden zuzufügen, falls oder wenn China beschließt, dass die Zeit für einen Angriff gekommen ist“, sagte der damals scheidende FBI-Direktor Christopher Wray letztes Jahr den Gesetzgebern.
Die US-Regierung und ihre Verbündeten sind inzwischen gegen einige chinesische Hackergruppen der „Typhoon“-Familie vorgegangen und haben neue Details über die von diesen Gruppen ausgehenden Bedrohungen veröffentlicht.
Im Januar 2024 störten die USA „Volt Typhoon“, eine Gruppe chinesischer Regierungshacker, deren Aufgabe es war, den Boden für zerstörerische Cyberangriffe zu bereiten. Später im September 2024 übernahmen Bundesbehörden die Kontrolle über ein Botnetz einer anderen chinesischen Hackergruppe namens „Flax Typhoon“, das ein in Peking ansässiges Cybersicherheitsunternehmen nutzte, um die Aktivitäten der Hacker der chinesischen Regierung zu verbergen. Im Dezember 2025 verhängte die US-Regierung dann Sanktionen gegen das Cybersicherheitsunternehmen wegen seiner angeblichen Rolle bei „mehreren Computerangriffen gegen US-Opfer“.
Seit dem Aufkommen von Volt Typhoon ist eine weitere neue von China unterstützte Hackergruppe namens „Salt Typhoon“ in den Netzwerken amerikanischer Telefon- und Internetgiganten aufgetaucht, die in der Lage ist, Informationen über Amerikaner – und potenzielle Ziele der US-Überwachung – zu sammeln, indem sie Telekommunikationssysteme kompromittiert Abhörmaßnahmen der Strafverfolgungsbehörden.
Hier ist, was wir über die chinesischen Hackergruppen erfahren haben, die sich auf den Krieg vorbereiten.
Volt-Taifun
Volt Typhoon repräsentiert eine neue Generation von von China unterstützten Hackergruppen; Ziel sei nicht mehr nur der Diebstahl sensibler US-Geheimnisse, sondern vielmehr die Vorbereitung, die „Mobilisierungsfähigkeit“ des US-Militärs zu stören, so der damalige FBI-Direktor.
Microsoft hat Volt Typhoon erstmals identifiziert im Mai 2023 und stellte fest, dass die Hacker seit mindestens Mitte 2021 Netzwerkgeräte wie Router, Firewalls und VPNs angegriffen und kompromittiert hatten, als Teil einer fortlaufenden und konzertierten Anstrengung, tief in die Systeme der kritischen Infrastruktur der USA einzudringen. Die US-Geheimdienste sagten, dass die Hacker in Wirklichkeit wahrscheinlich schon viel länger, möglicherweise sogar fünf Jahre, im Einsatz waren.
Volt Typhoon hat in den Monaten nach dem Bericht von Microsoft Tausende dieser mit dem Internet verbundenen Geräte kompromittiert und dabei Schwachstellen in Geräten ausgenutzt, die als „End-of-Life“ galten und daher keine Sicherheitsupdates mehr erhalten würden. Anschließend verschaffte sich die Hackergruppe weiteren Zugang zu den IT-Umgebungen mehrerer kritischer Infrastruktursektoren, darunter Luftfahrt, Wasser, Energie und Transport, und bereitete sich so auf die Aktivierung zukünftiger disruptiver Cyberangriffe vor, die darauf abzielen, die Reaktion der US-Regierung auf eine Invasion ihres wichtigsten Verbündeten zu verlangsamen. Taiwan.
„Dieser Akteur führt nicht die stille Informationsbeschaffung und den Diebstahl von Geheimnissen durch, die in den USA die Norm waren. Er untersucht sensible kritische Infrastrukturen, um wichtige Dienste zu unterbrechen, falls und wann der Befehl aufgehoben wird“, sagte John Hultquist, Chef Analyst beim Sicherheitsunternehmen Mandiant.
Der Das sagte die US-Regierung im Januar 2024 dass es ein von Volt Typhoon genutztes Botnetz, das aus Tausenden von gekaperten Routern für kleine Büro- und Heimnetzwerke in den USA bestand und die die chinesische Hackergruppe nutzte, um ihre böswilligen Aktivitäten zu verbergen, die auf kritische Infrastruktur in den USA abzielten, erfolgreich zerstört hatte. Das FBI sagte, es sei in der Lage gewesen, die Malware durch eine gerichtlich genehmigte Operation von gekaperten Routern zu entfernen und damit die Verbindung der chinesischen Hackergruppe zum Botnetz zu trennen.
Bis Januar 2025 Die USA hatten mehr als 100 Einbrüche entdeckt Bloomberg berichtet, dass im ganzen Land und in seinen Territorien ein Zusammenhang mit dem Volt-Taifun besteht. Eine große Anzahl dieser Angriffe richtete sich gegen Guam, ein US-Inselgebiet im Pazifik und einen strategischen Standort für amerikanische Militäroperationen, heißt es in dem Bericht. Volt Typhoon zielte angeblich auf kritische Infrastruktur auf der Insel ab, darunter die wichtigste Energiebehörde, den größten Mobilfunkanbieter der Insel und mehrere US-Bundesnetze, darunter sensible Verteidigungssysteme mit Sitz in Guam. Bloomberg berichtete, dass Volt Typhoon eine völlig neue Art von Malware einsetzte, um Netzwerke in Guam anzugreifen, die es noch nie zuvor eingesetzt hatte, was die Forscher als Zeichen der hohen Bedeutung werteten, die die Region für die von China unterstützten Hacker hat.
Flachs-Taifun
Flax Typhoon wurde einige Monate später erstmals von Microsoft veröffentlicht ein Bericht vom August 2023ist eine weitere von China unterstützte Hackergruppe, die nach offiziellen Angaben in den letzten Jahren unter dem Deckmantel eines börsennotierten Cybersicherheitsunternehmens mit Sitz in Peking Hackangriffe auf kritische Infrastrukturen durchgeführt hat. Laut Microsoft zielte Flax Typhoon – ebenfalls seit Mitte 2021 aktiv – hauptsächlich auf Dutzende „Regierungsbehörden und Bildungs-, kritische Fertigungs- und Informationstechnologieorganisationen in Taiwan“.
Dann, im September 2023, erklärte die US-Regierung, sie habe die Kontrolle über ein weiteres Botnetz übernommen, das aus Hunderttausenden gekaperten, mit dem Internet verbundenen Geräten bestand, und Wird von Flax Typhoon verwendet um „böswillige Cyberaktivitäten durchzuführen, die als routinemäßiger Internetverkehr von den infizierten Verbrauchergeräten getarnt sind“. Staatsanwälte sagten, das Botnetz habe es anderen von der chinesischen Regierung unterstützten Hackern ermöglicht, „in Netzwerke in den USA und auf der ganzen Welt einzudringen, um Informationen zu stehlen und unsere Infrastruktur zu gefährden“.
Das Justizministerium bestätigte später die Erkenntnisse von Microsoft und fügte hinzu, dass Flax Typhoon auch „mehrere US-amerikanische und ausländische Unternehmen angegriffen“ habe.
US-Beamte sagten, dass das von Flax Typhoon verwendete Botnetz vom in Peking ansässigen Cybersicherheitsunternehmen Integrity Technology Group betrieben und kontrolliert wurde. Im Januar 2024 verhängte die US-Regierung Sanktionen gegen Integrity Tech wegen seiner angeblichen Verbindungen zu Flax Typhoon.
Salz-Taifun
Die neueste – und möglicherweise bedrohlichste – Gruppe in Chinas staatlich unterstützter Cyber-Armee, die in den letzten Monaten aufgedeckt wurde, ist Salt Typhoon.
Salt Typhoon machte im Oktober 2024 Schlagzeilen wegen einer anderen Art von Informationsbeschaffungsoperation. Als erstmals berichtet vom Wall Street JournalDie mit China verbundene Hackergruppe hat mehrere US-amerikanische Telekommunikations- und Internetanbieter kompromittiert, darunter AT&T, Lumen (ehemals CenturyLink) und Verizon. Das Tagebuch später im Januar 2025 gemeldet dass Salt Typhoon auch gegen die in den USA ansässigen Internetanbieter Charter Communications und Windstream verstoßen hat. Die US-Cyber-Beamtin Anne Neuberger sagte, die Bundesregierung habe ein namentlich nicht genanntes neuntes gehacktes Telekommunikationsunternehmen identifiziert.
Entsprechend ein BerichtMöglicherweise hat sich Salt Typhoon über kompromittierte Cisco-Router Zugang zu diesen Telekommunikationsunternehmen verschafft. Sobald die Angreifer in die Netzwerke des Telekommunikationsunternehmens eingedrungen waren, konnten sie auf die Metadaten von Kundenanrufen und Textnachrichten zugreifen, darunter Datums- und Zeitstempel der Kundenkommunikation, Quell- und Ziel-IP-Adressen sowie Telefonnummern von über einer Million Benutzern. Bei den meisten handelte es sich um Personen aus der Gegend von Washington DC. In einigen Fällen waren es die Hacker ist in der Lage, Telefonaudio von älteren Amerikanern aufzunehmen. Neuberger sagte, dass eine „große Zahl“ derjenigen, die Zugriff auf Daten hatten, „Ziele der Regierung“ seien.
Durch das Hacken von Systemen, die Strafverfolgungsbehörden für die gerichtlich genehmigte Sammlung von Kundendaten nutzen, hat sich Salt Typhoon möglicherweise auch Zugang zu Daten und Systemen verschafft, in denen ein Großteil der Datenanfragen der US-Regierung gespeichert ist, einschließlich der potenziellen Identitäten chinesischer Ziele der US-Überwachung.
Es ist noch nicht bekannt, wann der Verstoß gegen die Abhörsysteme stattgefunden hat, der Bericht des Journals zufolge könnte er jedoch auf Anfang 2024 zurückgehen.
AT&T und Verizon teilten Tech im Dezember 2024 mit, dass ihre Netzwerke sicher seien, nachdem sie von der Spionagegruppe Salt Typhoon angegriffen wurden. Lumen bestätigte kurz darauf, dass sein Netzwerk frei von Hackern sei.
Erstmals veröffentlicht am 13. Oktober 2024 und aktualisiert.