Die National Security Agency der Vereinigten Staaten schweigt oft über ihre Arbeit und Geheimdienstinformationen. Doch auf der Cyberwarcon-Sicherheitskonferenz am Donnerstag in Washington D.C. richteten zwei Mitglieder des Cybersecurity Collaboration Center der Agentur einen „Aufruf zum Handeln“ an die Cybersicherheits-Community: Hüten Sie sich vor der Bedrohung durch von der chinesischen Regierung unterstützte Hacker, die sich in kritische Infrastrukturen der USA einnisten.
Zusammen mit den Geheimdienstpartnern der Geheimdienstallianz „Five Eyes“ warnt die NSA seit Mai davor, dass eine von Peking geförderte Gruppe namens Volt Typhoon im Rahmen ihrer Aktivitäten kritische Infrastrukturnetzwerke, darunter Stromnetze, ins Visier genommen hat.
Beamte betonten am Donnerstag, dass Netzwerkadministratoren und Sicherheitsteams nach verdächtigen Aktivitäten Ausschau halten müssen, bei denen Hacker legitime Tools anstelle von Malware manipulieren und missbrauchen – ein Ansatz, der als „vom Land leben“ bekannt ist –, um geheime Operationen durchzuführen. Sie fügten hinzu, dass die chinesische Regierung dank eines beträchtlichen Vorrats an Zero-Day-Schwachstellen, die Hacker als Waffe nutzen und ausnutzen können, auch neuartige Einbruchstechniken und Malware entwickelt. Peking sammelt diese Fehler durch eigene Forschung sowie durch ein Gesetz, das die Offenlegung von Schwachstellen vorschreibt.
Die Volksrepublik China „arbeitet daran, sich unbefugten Zugriff auf Systeme zu verschaffen und wartet auf den besten Zeitpunkt, diese Netzwerke auszunutzen“, sagte Morgan Adamski, Direktor des Cybersecurity Collaboration Center der NSA, am Donnerstag. „Die Bedrohung ist äußerst raffiniert und allgegenwärtig. Es ist nicht leicht zu finden. Es positioniert sich vorab mit der Absicht, sich auf lange Sicht in aller Stille in kritische Netzwerke einzudringen. Die Tatsache, dass sich diese Akteure in einer kritischen Infrastruktur befinden, ist inakzeptabel und wir nehmen das sehr ernst – etwas, worüber wir uns Sorgen machen.“
Mark Parsons und Judy Ng von Microsoft gaben später am Tag auf der Cyberwarcon ein Update über die Aktivitäten von Volt Typhoon. Sie stellten fest, dass die Gruppe, nachdem sie im Frühjahr und den größten Teil des Sommers scheinbar inaktiv war, im August mit verbesserter Betriebssicherheit wieder auftauchte, um die Verfolgung ihrer Aktivitäten zu erschweren. Volt Typhoon hat weiterhin Universitäten und Ausbildungsprogramme für Reserveoffiziere der US-Armee angegriffen – eine Art von Opfer, die die Gruppe besonders bevorzugt –, es wurde jedoch auch beobachtet, dass weitere US-Versorgungsunternehmen ins Visier genommen wurden.
„Wir glauben, dass Volt Typhoon dies für spionagebezogene Aktivitäten tut, aber darüber hinaus glauben wir, dass es ein Element gibt, dass sie es in Zeiten der Not zur Zerstörung oder Störung nutzen könnten“, sagte Ng von Microsoft am Donnerstag.
Adamski und Josh Zaritsky von der NSA, Chief Operations Officer des Cybersecurity Collaboration Center, forderten Netzwerkverteidiger auf, ihre Systemprotokolle auf anomale Aktivitäten zu verwalten und zu prüfen und Protokolle so zu speichern, dass sie von einem Angreifer, der sich Systemzugriff verschafft und nachschaut, nicht gelöscht werden können um ihre Spuren zu verbergen.
Die beiden betonten außerdem Best Practices wie die Zwei-Faktor-Authentifizierung und die Einschränkung der Systemprivilegien von Benutzern und Administratoren, um die Möglichkeit zu minimieren, dass Angreifer Konten überhaupt kompromittieren und ausnutzen können. Und sie betonten, dass es nicht nur notwendig sei, Schwachstellen in der Software zu beheben, sondern dass es auch wichtig sei, anschließend die Protokolle und Aufzeichnungen zu überprüfen, um sicherzustellen, dass es keine Anzeichen dafür gibt, dass der Fehler ausgenutzt wurde, bevor er behoben wurde.
„Wir brauchen Internetdienstanbieter, Cloud-Anbieter, Endpunktunternehmen, Cybersicherheitsunternehmen, Gerätehersteller – alle müssen in diesem Kampf zusammenarbeiten.“ Und dies ist ein Kampf um unsere kritische Infrastruktur in den USA“, sagte Adamski. „Die Produkte, die Dienstleistungen, auf die wir uns verlassen, alles, was zählt – deshalb ist das wichtig.“