WASHINGTON: Staatlich geförderte chinesische Hacker haben kritische US-Infrastrukturnetzwerke infiltriert, teilten die USA, ihre westlichen Verbündeten und Microsoft am Mittwoch mit und warnten gleichzeitig, dass es weltweit zu ähnlichen Spionageangriffen kommen könnte.
Microsoft nannte Guam, ein US-Territorium im Pazifischen Ozean mit einem wichtigen militärischen Außenposten, als eines der Ziele, sagte jedoch, dass „böswillige“ Aktivitäten auch anderswo in den Vereinigten Staaten entdeckt worden seien.
Es hieß, der Hackerangriff mit dem Namen „Volt Typhoon“ habe Mitte 2021 begonnen und sei wahrscheinlich darauf abzielen, die Vereinigten Staaten zu behindern, falls es in der Region zu Konflikten käme.
„Microsoft geht mit mäßiger Zuversicht davon aus, dass diese Volt-Typhoon-Kampagne die Entwicklung von Fähigkeiten anstrebt, die bei künftigen Krisen die kritische Kommunikationsinfrastruktur zwischen den Vereinigten Staaten und der Region Asien stören könnten“, heißt es in der Erklärung.
„In dieser Kampagne umfassen die betroffenen Organisationen die Bereiche Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung.
„Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur die Absicht hat, Spionage zu betreiben und den Zugriff so lange wie möglich unentdeckt aufrechtzuerhalten.“
Die Erklärung von Microsoft fiel mit einer Empfehlung zusammen, die von Behörden in den USA, Australien, Kanada, Neuseeland und dem Vereinigten Königreich herausgegeben wurde.
Sie sagten, dass ein „staatlich geförderter Cyber-Akteur“ aus China hinter Volt Typhoon steckte und dass der Hackerangriff wahrscheinlich weltweit stattfand.
„Diese Aktivität wirkt sich auf Netzwerke in kritischen Infrastruktursektoren der USA aus, und die Autorenagenturen gehen davon aus, dass der Akteur die gleichen Techniken gegen diese und andere Sektoren weltweit anwenden könnte“, heißt es in der Stellungnahme.
Die Vereinigten Staaten und ihre Verbündeten sagten, bei den Aktivitäten handele es sich um Taktiken, bei denen man vom Land lebt und integrierte Netzwerktools nutzt, um sich in normale Windows-Systeme einzufügen.
Es wurde gewarnt, dass der Hacker dann legitime Systemverwaltungsbefehle einbeziehen könnte, die „harmlos“ erscheinen.
-‘Sehr anspruchsvoll’-
Microsoft sagte, Volt Typhoon habe versucht, sich in die normale Netzwerkaktivität einzumischen, indem der Datenverkehr über kompromittierte Netzwerkgeräte kleiner Büros und Heimbüros, einschließlich Router, Firewalls und VPN-Hardware, geleitet wurde.
„Sie wurden auch bei der Verwendung benutzerdefinierter Versionen von Open-Source-Tools beobachtet“, sagte Microsoft.
Microsoft und die Sicherheitsbehörden haben Richtlinien für Organisationen herausgegeben, mit denen sie versuchen, Hackerangriffe zu erkennen und abzuwehren.
Auch die Direktorin der US-amerikanischen Cybersecurity and Infrastructure Security Agency, Jen Easterly, veröffentlichte eine Warnung im Zusammenhang mit dem Volt Typhoon.
„China führt seit Jahren weltweit Operationen durch, um geistiges Eigentum und sensible Daten von kritischen Infrastrukturorganisationen auf der ganzen Welt zu stehlen“, sagte Easterly.
„Die heutige Empfehlung, die wir gemeinsam mit unseren US-amerikanischen und internationalen Partnern herausgegeben haben, spiegelt wider, wie China hochentwickelte Mittel einsetzt, um die kritische Infrastruktur unseres Landes ins Visier zu nehmen.
„Diese gemeinsame Empfehlung wird Netzwerkverteidigern mehr Einblicke in die Erkennung und Eindämmung dieser bösartigen Aktivitäten geben.“
China reagierte nicht sofort auf die Vorwürfe. Aber es bestreitet regelmäßig, staatlich geförderte Cyberangriffe durchgeführt zu haben.
China wiederum wirft den USA regelmäßig Cyberspionage vor.
Während China und Russland seit langem kritische Infrastrukturen im Visier haben, bot der Volt-Taifun laut John Hultquist, Chefanalyst des US-amerikanischen Cybersicherheitsunternehmens Mandiant, neue Einblicke in chinesische Hackerangriffe.
„Chinesische Cyber-Bedrohungsakteure sind unter ihren Mitbewerbern insofern einzigartig, als sie nicht regelmäßig auf zerstörerische und störende Cyberangriffe zurückgegriffen haben“, sagte er.
„Daher sind ihre Fähigkeiten ziemlich undurchsichtig. Diese Offenlegung ist eine seltene Gelegenheit, diese Bedrohung zu untersuchen und sich darauf vorzubereiten.“
