Chinesische Hacker kompromittieren Nationalgarde-Netzwerk

WASHINGTON / LONDON (IT BOLTWISE) – Ein schwerwiegender Cyberangriff auf die US-amerikanische Nationalgarde durch eine chinesische Hackergruppe hat Sicherheitsbedenken auf höchster Ebene ausgelöst.

Die chinesische, staatlich geförderte Hackergruppe Salt Typhoon hat es geschafft, neun Monate lang unentdeckt in einem Netzwerk der US-amerikanischen Nationalgarde zu operieren. Während dieser Zeit stahlen sie Netzwerkkonfigurationsdateien und Administratoranmeldedaten, die potenziell zur Kompromittierung weiterer Regierungsnetzwerke genutzt werden könnten. Diese Gruppe, die mit dem chinesischen Ministerium für Staatssicherheit in Verbindung gebracht wird, hat sich in den letzten Jahren durch Angriffe auf Telekommunikations- und Breitbandanbieter weltweit einen Namen gemacht.

Der Angriff auf die Nationalgarde begann im März 2024 und dauerte bis Dezember desselben Jahres. In dieser Zeit konnten die Hacker nicht nur Netzwerkkonfigurationen, sondern auch persönliche Informationen von Dienstmitgliedern erbeuten. Diese Informationen könnten genutzt werden, um Netzwerke der Nationalgarde und anderer Regierungsstellen in verschiedenen US-Bundesstaaten zu gefährden.

Ein Bericht des US-Verteidigungsministeriums hebt hervor, dass Salt Typhoon zuvor gestohlene Netzwerktopologien und Konfigurationsdateien verwendet hat, um kritische Infrastrukturen und US-Regierungsbehörden zu kompromittieren. Zwischen Januar und März 2024 exfiltrierte die Gruppe Konfigurationsdateien von weiteren US-Regierungs- und Infrastruktureinrichtungen, was zur Kompromittierung eines anfälligen Geräts in einem anderen Regierungsnetzwerk führte.

Netzwerkkonfigurationsdateien enthalten Einstellungen, Sicherheitsprofile und Anmeldedaten, die auf Netzwerkgeräten wie Routern, Firewalls und VPN-Gateways konfiguriert sind. Diese Informationen sind für Angreifer wertvoll, da sie Wege zu anderen sensiblen Netzwerken aufzeigen können, die normalerweise nicht über das Internet zugänglich sind.

Das US-Heimatschutzministerium warnt, dass Salt Typhoon zwischen 2023 und 2024 insgesamt 1.462 Netzwerkkonfigurationsdateien von etwa 70 US-Regierungs- und Infrastruktureinrichtungen aus 12 Sektoren gestohlen hat. Obwohl nicht bekannt ist, wie Salt Typhoon das Netzwerk der Nationalgarde kompromittierte, ist die Gruppe dafür bekannt, alte Schwachstellen in Netzwerkgeräten auszunutzen.

Zu den von Salt Typhoon ausgenutzten Schwachstellen gehören unter anderem kritische Fehler in Cisco IOS und IOS XE, die Remote-Code-Ausführung ermöglichen. Die Angreifer nutzten auch eine Zero-Day-Schwachstelle in der Web-Benutzeroberfläche von Cisco IOS XE, die unautorisierte Fernzugriffe auf Geräte erlaubt.

In früheren Angriffen nutzten die Hacker ungepatchte Cisco-Router in Telekommunikationsumgebungen, um Zugang zur Infrastruktur zu erhalten und die Kommunikation von US-Politkampagnen und Gesetzgebern auszuspionieren. Dabei setzten sie maßgeschneiderte Malware wie JumblePath und GhostSpider ein, um Telekommunikationsnetzwerke zu überwachen.

Das Heimatschutzministerium fordert die Nationalgarde und andere Regierungsbehörden auf, diese Schwachstellen zu patchen, unnötige Dienste abzuschalten, SMB-Verkehr zu segmentieren, SMB-Signierung zu implementieren und Zugangskontrollen durchzusetzen. Ein Sprecher des National Guard Bureau bestätigte den Vorfall, betonte jedoch, dass die Bundes- oder Staatsmissionen nicht beeinträchtigt wurden.

Die chinesische Botschaft in Washington bestritt den Angriff nicht, erklärte jedoch, dass die USA keine „schlüssigen und zuverlässigen Beweise“ dafür geliefert hätten, dass Salt Typhoon mit der chinesischen Regierung in Verbindung steht.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!