Chinesische Volt-Typhoon-Hacker operierten fünf Jahre lang unentdeckt in kritischer US-Infrastruktur

Die US-Regierung hat kürzlich bekannt gegeben, dass es einer hochentwickelten, staatlich geförderten chinesischen Hackergruppe namens Volt Typhoon gelungen ist, kritische Infrastrukturnetzwerke in den Vereinigten Staaten und Guam zu infiltrieren, wobei sie unglaubliche fünf Jahre lang unentdeckt blieb. Diese kritischen Systeme, auf die Volt Typhoon abzielt, erstrecken sich über verschiedene Sektoren, darunter Kommunikation, Energie, Transport sowie Wasser- und Abwassermanagement.

Was die Aktivitäten von Volt Typhoon auszeichnet, ist ihr unkonventioneller Ansatz, der von typischen Cyberspionageoperationen abweicht. Nach Angaben der US-Behörden deuten die Taktiken der Gruppe auf einen vorsätzlichen Versuch hin, innerhalb von IT-Netzwerken Fuß zu fassen, um sie in die Lage zu versetzen, in Richtung Betriebstechnologie (OT) zu manövrieren, mit der Absicht, wesentliche Funktionen zu stören .

Die gemeinsame Stellungnahme der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und des Federal Bureau of Investigation (FBI) sowie die Unterstützung der Länder der Five Eyes-Geheimdienstallianz verdeutlichen den Ernst der Lage. Diese Hackergruppe, auch bekannt als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda oder Voltzite, ist seit mindestens Juni 2021 aktiv.

Die Vorgehensweise von Volt Typhoon umfasst den Einsatz fortschrittlicher Techniken wie „Living Off the Land“ (LotL), die es ihnen ermöglichen, verdeckt zu operieren, indem sie bösartige Aktivitäten mit legitimem Netzwerkverhalten kombinieren. Darüber hinaus nutzen sie Multi-Hop-Proxys wie KV-Botnet, um die Ursprünge ihrer Angriffe zu verschleiern, was die Zuordnung erschwert.

CrowdStrike, ein Cybersicherheitsunternehmen, stellte fest, dass Volt Typhoon auf eine umfangreiche Palette von Open-Source-Tools setzt, die auf bestimmte Opfer zugeschnitten sind, was ein hohes Maß an Raffinesse und strategischer Planung zeigt. Die Gruppe führt die Aufklärung akribisch durch, passt ihre Taktiken an die Zielumgebungen an und wahrt ihre Beharrlichkeit durch die Verwendung gültiger Konten und strenger betrieblicher Sicherheitsmaßnahmen.

Eines ihrer Hauptziele besteht darin, Administratoranmeldeinformationen innerhalb von Netzwerken zu erhalten und dabei Schwachstellen bei der Privilegieneskalation auszunutzen, um laterale Bewegung und Aufklärung zu erleichtern. Ihre langfristige Strategie besteht darin, den Zugriff auf kompromittierte Umgebungen aufrechtzuerhalten und ihre Techniken kontinuierlich zu verfeinern, um einer Entdeckung zu entgehen und unbefugte Zugriffe auszuweiten.

Zusätzlich zu den gestohlenen Zugangsdaten setzt Volt Typhoon LotL-Techniken ein, um Spuren von Malware zu vermeiden und so deren Tarnung und Betriebssicherheit zu verbessern. Sie gehen sogar so weit, gezielte Protokolle zu löschen, um ihre Aktionen in kompromittierten Umgebungen zu verbergen, was die Bemühungen zur Aufdeckung ihrer Aktivitäten weiter erschwert.

Diese Enthüllung deckt sich mit Erkenntnissen von Citizen Lab über eine weit verbreitete Einflusskampagne namens PAPERWALL, an der über 123 Websites beteiligt waren, die lokale Nachrichtenagenturen in 30 Ländern imitierten. Diese Websites, die mit einer in Peking ansässigen PR-Firma namens Shenzhen Haimaiyunxiang Media Co., Ltd. verknüpft sind, verbreiten pro-chinesische Inhalte und entfernen kritische Artikel nach der Veröffentlichung.

Während die chinesische Botschaft in Washington Vorwürfe der Desinformation zurückweist, unterstreichen diese Vorfälle die wachsende Besorgnis über Chinas Cyber-Fähigkeiten und Einflussnahme auf Operationen auf globaler Ebene.