Als staatlich geförderte Hacker Obwohl sie im Auftrag Russlands, Irans und Nordkoreas seit Jahren verheerende Cyberangriffe auf der ganzen Welt anrichten, haben sich Chinas Militär- und Geheimdienst-Hacker weitgehend den Ruf bewahrt, ihre Eingriffe auf Spionage zu beschränken. Aber wenn diese Cyberspione in kritische Infrastrukturen in den Vereinigten Staaten eindringen – und insbesondere in ein US-Territorium vor Chinas Haustür –, sehen Spionage, Notfallplanung für Konflikte und Eskalation des Cyberkriegs gefährlich ähnlich aus.
Am Mittwoch, Microsoft in einem Blogbeitrag enthüllt dass es eine Gruppe von angeblich staatlich geförderten chinesischen Hackern aufgespürt hat, die seit 2021 eine breit angelegte Hacking-Kampagne durchgeführt haben, die auf kritische Infrastruktursysteme in US-Bundesstaaten und Guam abzielte, darunter Kommunikation, Fertigung, Versorgung, Bau und Transport .
Die Absichten der Gruppe, die Microsoft den Namen Volt Typhoon gegeben hat, könnten lediglich Spionage sein, da sie ihren Zugang zu diesen kritischen Netzwerken offenbar nicht zur Datenvernichtung oder anderen Angriffsangriffen genutzt hat. Microsoft warnt jedoch davor, dass die Art der Angriffe der Gruppe, auch auf ein pazifisches Gebiet, das in einem militärischen oder diplomatischen Konflikt mit China eine Schlüsselrolle spielen könnte, dennoch zu einer solchen Störung führen könnte.
„Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur die Absicht hat, Spionage zu betreiben und den Zugriff so lange wie möglich unentdeckt aufrechtzuerhalten“, heißt es im Blogbeitrag des Unternehmens. Aber es verbindet diese Aussage mit einer Einschätzung mit „mäßiger Zuversicht“, dass die Hacker „die Entwicklung von Fähigkeiten anstreben, die bei künftigen Krisen kritische Kommunikationsinfrastrukturen zwischen den Vereinigten Staaten und der Region Asien stören könnten“.
Das zu Google gehörende Cybersicherheitsunternehmen Mandiant sagt, es habe auch einen Teil der Einbrüche der Gruppe verfolgt und warnt ähnlich zum Fokus der Gruppe auf kritische Infrastrukturen: „Es gibt keinen klaren Zusammenhang mit geistigem Eigentum oder Richtlinieninformationen, die wir von einer Spionageoperation erwarten.“ sagt John Hultquist, der Threat Intelligence bei Mandiant leitet. „Das führt uns zu der Frage, ob sie da sind Weil Die Ziele sind entscheidend. Unser Anliegen ist, dass der Schwerpunkt auf kritischer Infrastruktur auf der Vorbereitung auf mögliche störende oder zerstörerische Angriffe liegt.“
Der Blogeintrag von Microsoft enthielt technische Details zu den Eingriffen der Hacker, die Netzwerkverteidigern helfen könnten, sie zu erkennen und zu vertreiben: Die Gruppe nutzt beispielsweise gehackte Router, Firewalls und andere „Edge“-Geräte des Netzwerks als Proxys, um ihre Hackerangriffe zu starten – und zielt dabei auf Geräte ab Dazu gehören diejenigen, die von den Hardwareherstellern ASUS, Cisco, D-Link, Netgear und Zyxel verkauft werden. Die Gruppe nutzt auch häufig den Zugriff aus, der über kompromittierte Konten legitimer Benutzer bereitgestellt wird, statt ihrer eigenen Malware, um ihre Aktivitäten schwerer erkennbar zu machen, indem sie den Anschein erwecken, harmlos zu sein.
Sich in den regulären Netzwerkverkehr eines Ziels einzumischen, um einer Entdeckung zu entgehen, ist ein Markenzeichen des Vorgehens von Volt Typhoon und anderen chinesischen Akteuren in den letzten Jahren, sagt Marc Burnard, leitender Berater für Informationssicherheitsforschung bei Secureworks. Wie Microsoft und Mandiant hat Secureworks die Gruppe verfolgt und die Kampagnen beobachtet. Er fügte hinzu, dass die Gruppe einen „unermüdlichen Fokus auf Anpassung“ gezeigt habe, um ihre Spionage fortzusetzen.