Salt Typhoon: Chinesische Hackergruppe nutzt Schwachstellen in globalen Netzwerken

LONDON (IT BOLTWISE) – Eine chinesische Hackergruppe, bekannt als Salt Typhoon, hat weltweit über 600 Organisationen ins Visier genommen. Durch die Ausnutzung von Schwachstellen in Netzwerken von Cisco, Ivanti und Palo Alto Networks verschaffen sie sich Zugang zu kritischen Infrastrukturen. Diese Angriffe zielen darauf ab, die Kommunikations- und Bewegungsdaten der Opfer zu überwachen und zu manipulieren.

Die chinesische Hackergruppe Salt Typhoon, die mit fortschrittlichen und hartnäckigen Bedrohungen (APT) in Verbindung gebracht wird, hat ihre Angriffe auf Netzwerke weltweit fortgesetzt. Besonders betroffen sind Organisationen in den Bereichen Telekommunikation, Regierung, Transport, Gastgewerbe und militärische Infrastruktur. Diese Gruppe konzentriert sich auf große Backbone-Router von Telekommunikationsanbietern sowie auf Provider-Edge- und Customer-Edge-Router. Durch kompromittierte Geräte und vertrauenswürdige Verbindungen gelingt es ihnen, in andere Netzwerke vorzudringen.

Ein gemeinsames Cybersecurity-Advisory, das von Behörden aus 13 Ländern veröffentlicht wurde, weist darauf hin, dass die bösartigen Aktivitäten mit drei chinesischen Unternehmen in Verbindung stehen: Sichuan Juxinhe Network Technology Co., Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. und Sichuan Zhixin Ruijie Network Technology Co., Ltd. Diese Unternehmen bieten cyberbezogene Produkte und Dienstleistungen für die chinesischen Nachrichtendienste an. Die gestohlenen Daten, insbesondere von Telekommunikations- und Internetdienstanbietern, ermöglichen es Peking, die Kommunikation und Bewegungen ihrer Ziele weltweit zu identifizieren und zu verfolgen.

Brett Leatherman, Leiter der Cyber-Abteilung des US-amerikanischen FBI, erklärte, dass Salt Typhoon seit mindestens 2019 aktiv ist und eine anhaltende Spionagekampagne betreibt, die darauf abzielt, die globalen Telekommunikations- und Sicherheitsnormen zu verletzen. In einem separaten Bericht der niederländischen Geheimdienste MIVD und AIVD wurde festgestellt, dass Organisationen in den Niederlanden zwar nicht in gleichem Maße wie in den USA betroffen waren, die Hacker jedoch Zugang zu Routern kleinerer Internetdienstanbieter und Hosting-Anbieter erlangten. Es gibt jedoch keine Hinweise darauf, dass die Hacker diese Netzwerke weiter durchdrungen haben.

Die Sicherheitswarnung wurde von Ländern wie Australien, Kanada, der Tschechischen Republik, Finnland, Deutschland, Italien, Japan, den Niederlanden, Neuseeland, Polen, Spanien, dem Vereinigten Königreich und den USA unterzeichnet. Seit mindestens 2021 zielt diese Aktivität auf Organisationen in kritischen Sektoren ab, darunter Regierung, Telekommunikation, Transport, Gastgewerbe und militärische Infrastruktur weltweit, wobei eine Häufung von Aktivitäten im Vereinigten Königreich beobachtet wurde.

Salt Typhoon, das mit Aktivitäten wie GhostEmperor, Operator Panda, RedMike und UNC5807 überschneidet, wurde dabei beobachtet, wie es sich durch die Ausnutzung von Schwachstellen in exponierten Netzwerk-Edge-Geräten von Cisco, Ivanti und Palo Alto Networks Zugang verschafft. Die kompromittierten Geräte werden dann genutzt, um in andere Netzwerke vorzudringen, wobei in einigen Fällen die Konfiguration des Geräts geändert und ein generisches Routing-Encapsulation-Tunnel für den dauerhaften Zugriff und die Datenexfiltration hinzugefügt wird.

Die Angreifer nutzen Authentifizierungsprotokolle wie das Terminal Access Controller Access Control System Plus (TACACS+), um sich lateral über Netzwerkgeräte zu bewegen, während sie gleichzeitig umfangreiche Entdeckungsaktionen durchführen und Netzwerkverkehr mit Anmeldedaten über kompromittierte Router erfassen, um tiefer in die Netzwerke einzudringen. Die APT-Akteure sammelten PCAPs mit nativen Tools auf dem kompromittierten System, wobei das Hauptziel wahrscheinlich darin bestand, TACACS+-Verkehr über TCP-Port 49 zu erfassen. Dieser Verkehr wird oft für die Authentifizierung verwendet, insbesondere für die Verwaltung von Netzwerkausrüstung und die Konten hochprivilegierter Netzwerkadministratoren, was es den Akteuren wahrscheinlich ermöglicht, zusätzliche Konten zu kompromittieren und sich lateral zu bewegen.

Google-eigenes Mandiant, das zu den vielen Industriepartnern gehört, die zur Beratung beigetragen haben, erklärte, dass die Vertrautheit des Bedrohungsakteurs mit Telekommunikationssystemen ihnen einen einzigartigen Vorteil verschafft, der ihnen bei der Verteidigungsausweichung einen Vorsprung gibt. Ein Ökosystem von Auftragnehmern, Akademikern und anderen Vermittlern steht im Mittelpunkt der chinesischen Cyber-Spionage. Auftragnehmer werden eingesetzt, um Werkzeuge und wertvolle Exploits zu entwickeln sowie die schmutzige Arbeit von Einbruchsoperationen durchzuführen. Sie waren entscheidend für die schnelle Entwicklung dieser Operationen und deren Wachstum auf ein beispielloses Ausmaß.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,99 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

PLAUD Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, PLAUD NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

64,59 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!