Volt Typhoon Malware: Kritische US-Infrastrukturen angegriffen
Vor kurzem hat die US-Regierung bekannt gegeben, dass die chinesische staatlich geförderte Hackergruppe, Volt Typhoon über einen Zeitraum von fünf Jahren heimlich in kritische Infrastrukturnetze des Landes eingedrungen ist. Diese eingebettete Malware Operation von Volt Typhoon zielte auf Sektoren ab, die für die Nation lebenswichtig sind, darunter Kommunikations-, Energie-, Transport- sowie Wasser- und Abwassersysteme sowohl in den USA als auch in Guam.
Schwachstellen der US-Infrastruktur - Unkonventionelle Taktiken schlagen Alarm
Die US-Regierungsbehörden, darunter die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA) und das Federal Bureau of Investigation (FBI), äußerten sich besorgt über Volt Typhoonatypischen Taktiken. Im Gegensatz zu konventioneller Cyberspionage Aktivitäten wies Volt Typhoon ein einzigartiges Verhaltensmuster auf, das den Verdacht auf die wahren Absichten des Unternehmens weckte.
Die Bewertung geht davon aus, dass der Volt-Taifun sich strategisch in IT-Netzwerken positioniert und damit die Grundlage für potenzielle störende oder zerstörerische Cyberangriffe auf die Sicherheit kritischer Infrastrukturen in den USA schafft. Sicherheit kritischer Infrastrukturen während einer größeren Krise oder eines Konflikts.
Internationale Zusammenarbeit bestätigt Bedenken
Der Ernst der Lage wird durch ein gemeinsames Gutachten der USA und ihrer nachrichtendienstlichen Verbündeten, der Five Eyes (FVEY)-Allianz, bestehend aus Australien, Kanada, Neuseeland und Großbritannien, unterstrichen. Diese internationale Zusammenarbeit unterstreicht die Schwere der Bedrohung, die vom Volt-Taifun und die Notwendigkeit einer einheitlichen Reaktion. Dies zeigt, dass Sicherheitslücken in der Infrastruktur verheerende Folgen haben können, indem sie sensible Daten gefährden und wichtige Abläufe stören.
Volt Typhoon: Ein heimlicher Widersacher
Früher bekannt als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda, oder Voltzite, Volt Typhoon operiert als verdeckte, in China ansässige Cyberspionage-Gruppe, aktiv seit Juni 2021. Ihre Existenz kam im Mai 2023 ans Licht, als FVEY und Microsoft die anhaltende Infiltration der Gruppe in kritische Infrastrukturorganisationen in den USA und Guam aufdeckten, wobei sie ausgeklügelte "living-off-the-land"-Techniken (LotL) einsetzte.
Leben auf dem Land: Ein heimliches Handwerk
Volt Typhoondie Nutzung von "Leben auf dem Land" Techniken ermöglicht es Volt Typhoon, unauffällig zu operieren und bösartige Aktivitäten nahtlos mit legitimem System- und Netzwerkverhalten zu vermischen. Diese Gerissenheit macht es selbst für Unternehmen mit ausgereiften Sicherheitsvorkehrungen schwierig, ihre Aktivitäten zu erkennen und zu unterscheiden.
Verdeckte Ursprünge: Die Rolle von Multi-hop Proxies
Um seine wahre Herkunft zu verbergen, Volt Typhoon nutzt Multi-Hop-Proxys wie das KV-Botnet, um den bösartigen Datenverkehr über kompromittierte Router und Firewalls in den USA zu leiten. Diese Taktik macht die Sache noch komplexer und erschwert es, die Quelle solcher hartnäckigen Bedrohungen.
CrowdStrike-Bericht hebt strategischen Ansatz hervor
Ein Bericht des Cybersicherheitsunternehmens CrowdStrike vom Juni 2023 gibt Aufschluss über Volt Typhoonstrategischen Ansatz von Volt Typhoon. Die Gruppe stützt sich auf ein umfangreiches Arsenal von Open-Source-Tools, die auf eine bestimmte Gruppe von Opfern zugeschnitten sind, was eine kalkulierte und gezielte Methodik erkennen lässt. Ihre Aufklärungsbemühungen im Vorfeld eines Angriffs gewährleisten ein tiefes Verständnis der Zielumgebung und ermöglichen maßgeschneiderte Taktiken und Verfahren für eine langfristige Persistenz.
Hartnäckiges Streben nach Administrator-Berechtigungen
Volt TyphoonDer Modus Operandi von Volt Typhoon beinhaltet die Ausnutzung von Schwachstellen bei der Privilegienerweiterung um Administratoren-Zugangsdaten innerhalb des Netzwerks zu erhalten. Dieser erweiterte Zugriff erleichtert dann seitliche Bewegungen, Erkundungen und die Kompromittierung der gesamten Domäne.
Das ultimative Ziel ist es, den Zugang zu kompromittierten Umgebungen aufrechtzuerhalten, indem sie über Jahre hinweg systematisch wieder ins Visier genommen werden, um nicht autorisierte Zugriffe zu bestätigen und zu erweitern. Daher müssen Unternehmen wachsam bleiben gegenüber Advanced Persistent Threats (APTs) um ihre digitalen Werte zu schützen und die betriebliche Integrität zu wahren.
Unentdecktes Fortbestehen und operative Sicherheit
Volt Typhoon zeichnet sich durch seinen Fokus auf Tarnkappe und Betriebssicherheit aus und entgeht Erkennung von Cyberangriffen über längere Zeiträume. Die Gruppe legt großen Wert auf die gezielte Löschung von Protokollen, um ihre Aktionen in kompromittierten Umgebungen zu verbergen und eine langfristige, unentdeckte Persistenz zu gewährleisten.
Citizen Lab deckt weit verbreitete Beeinflussungskampagne auf
Zeitgleich mit diesen Enthüllungen deckte das Citizen Lab ein Netzwerk von 123 Websites auf, die sich als lokale Nachrichtensender in 30 Ländern ausgaben und eine breit angelegte Beeinflussungskampagne durchführten. Die Operation, die mit einer Pekinger PR-Firma namens Shenzhen Haimaiyunxiang Media Co., Ltd. verbunden ist, trägt den Namen PAPERWALL und weist Ähnlichkeiten mit HaiEnergy auf, wobei unterschiedliche Betreiber und einzigartige Taktiken, Techniken und Verfahren (TTPs) eingesetzt werden.
Antwort von Chinas Botschaft
Als Reaktion auf diese Anschuldigungen wies ein Sprecher der chinesischen Botschaft in Washington die Vorwürfe als voreingenommen und mit zweierlei Maß gemessen zurück. Sie argumentieren, dass die Bezeichnung von pro-chinesischen Inhalten als "Desinformation" als "Desinformation" zu bezeichnen, während Anti-China-Informationen als "wahr" eine voreingenommene Sichtweise widerspiegele.
Schlussfolgerung
Die Enthüllung von Volt Typhoonin die kritische US-Infrastruktur unterstreicht die sich entwickelnde Natur der Bedrohungen der Cybersicherheit mit denen Nationen weltweit konfrontiert sind. Die Bewältigung dieser Herausforderungen erfordert eine konzertierte Aktion von Regierungen, Cybersicherheitsbehörden und Partnern aus dem Privatsektor.
Durch verstärkte Zusammenarbeit und Investitionen in robuste Verteidigungsmechanismenkönnen wir unsere Systeme besser vor jeglicher Schadsoftware und das Risiko, das von hochentwickelten Bedrohungsakteuren wie dem Volt-Taifun.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Reuters.