Von China unterstützte Hacker haben „mindestens fünf Jahre lang“ Zugang zur kritischen amerikanischen Infrastruktur aufrechterhalten, mit dem langfristigen Ziel, „zerstörerische“ Cyberangriffe zu starten, warnte eine Koalition US-Geheimdienste am Mittwoch.
Volt Typhoon, eine staatlich geförderte Hackergruppe mit Sitz in China, hat sich in die Netzwerke von Luftfahrt-, Schienen-, Nahverkehrs-, Autobahn-, Schifffahrts-, Pipeline-, Wasser- und Abwasserorganisationen eingedrungen – von denen keine namentlich genannt wurde –, um dies zu verhindern Sie bereiten sich auf zerstörerische Cyberangriffe vor, sagten NSA, CISA und FBI ein gemeinsames Gutachten, das am Mittwoch veröffentlicht wurde.
Dies stelle einen „strategischen Wandel“ in den traditionellen Cyberspionage- oder Geheimdienstoperationen der von China unterstützten Hacker dar, sagten die Behörden, da sie sich stattdessen darauf vorbereiten, die operative Technologie im Falle eines größeren Konflikts oder einer Krise zu stören.
Die Veröffentlichung des Gutachtens, das von Cybersicherheitsbehörden im Vereinigten Königreich, Australien, Kanada und Neuseeland gemeinsam unterzeichnet wurde, erfolgt eine Woche nach einer ähnlichen Warnung von FBI-Direktor Christopher Wray. Während einer Anhörung im Ausschuss des US-Repräsentantenhauses zu Cyber-Bedrohungen durch China beschrieb Wray den Volt-Taifun als „die bestimmende Bedrohung unserer Generation“ und sagte, das Ziel der Gruppe sei es, „die Mobilisierungsfähigkeit unseres Militärs in den frühen Stadien eines Angriffs zu stören“. erwarteter Konflikt um Taiwan, das China als sein Territorium beansprucht.
Laut der technischen Mitteilung vom Mittwoch hat Volt Typhoon Schwachstellen in Routern, Firewalls und VPNs ausgenutzt, um ersten Zugriff auf kritische Infrastrukturen im ganzen Land zu erhalten. Die von China unterstützten Hacker nutzten in der Regel gestohlene Administrator-Zugangsdaten, um den Zugriff auf diese Systeme aufrechtzuerhalten, heißt es in dem Gutachten, und in einigen Fällen haben sie den Zugriff „mindestens fünf Jahre lang“ aufrechterhalten.
Dieser Zugriff ermöglichte es den staatlich unterstützten Hackern, potenzielle Störungen durchzuführen, wie etwa „die Manipulation von Heizungs-, Lüftungs- und Klimaanlagen (HLK) in Serverräumen oder die Störung kritischer Energie- und Wasserkontrollen, was zu erheblichen Infrastrukturausfällen führen würde“, warnte die Warnung. In einigen Fällen hatten Volt Typhoon-Hacker die Möglichkeit, auf Kameraüberwachungssysteme in kritischen Infrastruktureinrichtungen zuzugreifen – es ist jedoch nicht klar, ob dies der Fall war.
Volt Typhoon nutzte auch „Living-Off-the-Land“-Techniken, bei denen Angreifer legitime Tools und Funktionen nutzen, die bereits im Zielsystem vorhanden sind, um eine langfristige, unentdeckte Persistenz aufrechtzuerhalten. Um einer Entdeckung zu entgehen, führten die Hacker außerdem „umfangreiche Vorab-Erkundungen“ durch. „Zum Beispiel haben Volt Typhoon-Akteure in einigen Fällen darauf verzichtet, kompromittierte Zugangsdaten außerhalb der normalen Arbeitszeiten zu verwenden, um zu vermeiden, dass Sicherheitswarnungen bei ungewöhnlichen Kontoaktivitäten ausgelöst werden“, heißt es in der Mitteilung.
Bei einem Anruf am Mittwoch warnten hochrangige Beamte der US-Geheimdienste, dass Volt Typhoon „nicht der einzige staatlich unterstützte chinesische Cyber-Akteur ist, der diese Art von Aktivität durchführt“, nannte jedoch nicht die anderen Gruppen, die sie verfolgt hatten.
Letzte Woche gaben das FBI und das US-Justizministerium bekannt, dass sie das von Volt Typhoon betriebene „KV-Botnetz“ zerstört hatten, das Hunderte von in den USA ansässigen Routern für kleine Unternehmen und Heimbüros kompromittiert hatte. Das FBI sagte, es sei in der Lage gewesen, die Malware von den gekaperten Routern zu entfernen und ihre Verbindung zu den staatlich geförderten Hackern Chinas zu trennen.
Laut einem Bericht vom Mai 2023 veröffentlicht Von Microsoft hat Volt Typhoon seit mindestens Mitte 2021 kritische Infrastrukturen in den USA ins Visier genommen und in diese eingedrungen.