Laut Microsoft und verschiedenen Cybersicherheitsbehörden im Rahmen der Five Eyes-Allianz hat eine chinesische Cyber-Spionagegruppe seit mindestens Mitte 2021 eine Vielzahl von Netzwerken in kritischen Infrastruktursektoren der USA, von der Telekommunikation bis zu Verkehrsknotenpunkten, ins Visier genommen.
Microsoft gab am Mittwoch bekannt, dass die „heimliche und gezielte bösartige Aktivität“ von Volt Typhoon durchgeführt wird, einem staatlich geförderten Akteur mit Sitz in China, der typischerweise Ziele ausspioniert und Informationen über sie sammelt.
Der amerikanische multinationale Technologieriese fügte hinzu, dass Volt Typhoon offenbar die Absicht habe, „Spionage zu betreiben und den Zugang so lange wie möglich unentdeckt aufrechtzuerhalten“.
Es wird angenommen, dass die in China ansässige Hackergruppe nach Möglichkeiten strebt, „kritische Kommunikationsinfrastrukturen zwischen den Vereinigten Staaten und der Region Asien bei künftigen Krisen zu stören“, so Microsoft.
Zu den betroffenen kritischen Sektoren in den USA gehören „die Sektoren Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung“.
Es war nicht sofort klar, wie viele Netzwerke betroffen waren.
Militärisches Risiko
Dazu gehören verschiedene Netzwerke in Guam im Westpazifik, wo die Vereinigten Staaten eine große militärische Präsenz haben, stellte Microsoft fest.
Diese US-Militäreinrichtungen spielen eine wichtige Rolle bei der Reaktion auf Konflikte im asiatisch-pazifischen Raum. Guam dient auch als wichtiges Kommunikationszentrum, das Asien und Australien über Unterseekabel mit den Vereinigten Staaten verbindet.
Bart Hoggeveen, ein leitender Analyst am Australian Strategic Policy Institute, sagte, die Unterseekabel machten Guam zu einem „logischen Ziel“ für Chinas regierende Kommunistische Partei, um nach Informationen zu suchen.
„Es besteht eine hohe Anfälligkeit, wenn Kabel an Land landen“, sagte er.
Warnung von Five Eyes Agency
Die USA und andere Geheimdienstpartner gaben in einer gemeinsamen Cybersicherheitsempfehlung an, dass sie davon ausgehen, dass Chinas Volt-Taifun-Kampagne andere kritische Infrastrukturen im Ausland zum Ziel haben könnte.
Zu den Behörden gehören die US-amerikanische National Security Agency, das FBI, die Cybersecurity and Infrastructure Security Agency (CISA) und ihre Kollegen aus Australien, Neuseeland, Kanada und Großbritannien.
„China führt seit Jahren aggressive Cyberoperationen durch, um geistiges Eigentum und sensible Daten von Organisationen auf der ganzen Welt zu stehlen“, sagte CISA-Direktorin Jen Easterly in einer Warnung.
In derselben Warnung bezeichnete Bryan Vorndran, der stellvertretende Leiter der FBI-Cyberabteilung, den Hackerangriff als „inakzeptable Taktik“.
„Es ist von entscheidender Bedeutung, dass Betreiber kritischer nationaler Infrastruktur Maßnahmen ergreifen, um zu verhindern, dass sich Angreifer auf ihren Systemen verstecken“, sagte Paul Chichester, Direktor des britischen National Cyber Security Centre, in der Warnung.
„Vom Land leben“
Laut Microsoft besteht eine der Haupttaktiken, die Volt Typhoon anwendet, darin, „vom Land zu leben“, was den Einsatz verschiedener integrierter Windows-Netzwerkverwaltungstools gegen Ziele beinhaltet.
Dies ermöglicht es der Cyberspionagegruppe, der Entdeckung zu entgehen, da sich die Hacking-Tools in die normale Windows-System- und Netzwerkaktivität einfügen und keine Sicherheitswarnungen auslösen.
Solche Techniken seien schwerer zu erkennen, da sie „Funktionen nutzen, die bereits in kritische Infrastrukturumgebungen integriert sind“, sagte NSA-Cybersicherheitsdirektor Rob Joyce in der Warnmeldung.
Nachdem es die bestehenden Systeme eines Ziels infiziert hat, führt die Hackergruppe Spionage durch und beginnt mit der Datenextraktion, sagte Microsoft.
Einige der integrierten Tools, die verwendet werden, sind wmic, ntdsutil, netsh und PowerShell.
Den ersten Zugriff erlangten die Hacker über mit dem Internet verbundene Fortiguard-Geräte, die so konstruiert sind, dass sie maschinelles Lernen nutzen, um Malware zu erkennen, sagte Microsoft.
Microsoft-Kunden alarmiert
Microsoft sagte, es habe sich proaktiv an alle angegriffenen oder kompromittierten Kunden gewandt und ihnen Informationen zur Sicherung ihrer Netzwerke bereitgestellt.
Mindestens im letzten Jahrzehnt haben Menschenrechtsgruppen amerikanische Unternehmen wie Microsoft vor potenziellen nationalen Sicherheitsrisiken gewarnt, die mit Verhandlungen mit der Kommunistischen Partei Chinas über den Zugang zum chinesischen Markt verbunden sind.
Ein Bericht der Gruppe Victims of Communism vom Februar 2022 warnte, dass Google, GE, Intel und Microsoft „potenziell problematische Verbindungen hätten, die Chinas staatliche Überwachung, militärische Modernisierung und Menschenrechtsverletzungen direkt oder indirekt unterstützen könnten“.
Laut aktuellen statistischen Daten von StatCounter hat sich Microsofts Bing mittlerweile zur führenden Desktop-Suchmaschine Chinas entwickelt und übertrifft Baidu.
John Hultquist, Chefanalyst bei Googles Cybersecurity Intelligence-Abteilung Mandiant, bezeichnete die Ankündigung von Microsoft vom Mittwoch als „möglicherweise eine wirklich wichtige Erkenntnis“.
„Wir sehen nicht viele Untersuchungen dieser Art aus China. Das kommt selten vor“, sagte Hultquist. „Wir wissen viel über die russischen, nordkoreanischen und iranischen Cyber-Fähigkeiten, weil sie dies regelmäßig getan haben.“
Er fügte hinzu, dass China den Einsatz von Tools, die nicht nur zur Informationsbeschaffung, sondern auch für Malware für störende Angriffe in einem bewaffneten Konflikt genutzt werden könnten, im Allgemeinen zurückgehalten habe.
Die Associated Press hat zu diesem Bericht beigetragen.
Text ist eine Übersetzung vom Epoch Times Artikel:
