In den letzten Jahren sind immer wieder Cyberangriffe von mutmaßlich chinesischen Akteuren auf internationale Netzwerksysteme bekannt geworden. Dabei konnten die wohl staatlich unterstützten Cyberangreifer die globale Telekommunikationsinfrastruktur infiltrieren und ausspähen. Dagegen haben sich die Sicherheitsbehörden verschiedener Länder verbündet und jetzt einen gemeinsamen und umfassenden Cybersicherheitsleitfaden veröffentlicht, der das Vorgehen der Angreifer beschreibt, Hinweise zur Entdeckung der Attacken gibt und Gegenmaßnahmen empfiehlt.
Vielen dieser Cyberangriffe gemein ist das Ausnutzen bereits bekannter, aber vom Betreiber nicht geschlossener Sicherheitslücken. Das war kürzlich auch bei einem nordamerikanischen Telekommunikationsanbieter der Fall. Cyberkriminelle nutzten eine ungepatchte Cisco-Sicherheitslücke als Einfallstor zu einem kanadischen Provider. Cisco hatte nach Bekanntwerden der Lücke eine aktualisierte Software bereitgestellt, aber der Telko-Anbieter hat diese offenbar über ein Jahr lang nicht installiert.
Das ist einer der Gründe, warum sich Sicherheitsbehörden aus Australien, Kanada, Neuseeland, Großbritannien, der Tschechischen Republik, Finnland, Deutschland, Italien, Japan, den Niederlanden, Polen sowie den USA zusammengetan und eine gemeinsame Cybersicherheitsempfehlung herausgegeben haben. Aus Deutschland waren der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt.
Das bislang nur auf Englisch verfügbare "Joint Cybersecurity Advisory" nennt als Hauptakteure die Gruppen "Salt Typhoon", "OPERATOR PANDA", "RedMike", "UNC5807" und "GhostEmperor". Demnach wurden Aktivitäten dieser sogenannten APT-Akteure (Advanced Persistent Threat) in den USA, Australien, Kanada, Neuseeland und Großbritannien entdeckt, aber sie sollen auch andernorts weltweit tätig sein. Die Angreifer modifizieren vielfach Router, um ständigen und langfristigen Zugang zu den Netzwerken zu erlangen.
Das Bundesamt für Verfassungsschutz und das BSI greifen sich Salt Typhoon als Hauptakteur für den gemeinsamen Sicherheitshinweis heraus. Diese Gruppe ist demnach auch bekannt als GhostEmperor und FamousSparrow, denn die Cybergangs haben international unterschiedliche Namen. Hauptziele dieser Cyberkriminellen liegen bei der Telekommunikationsinfrastruktur. Sind die Angreifer in die Netzwerke eingedrungen, erlaubt es etwa den mit den Hackern verbundenen chinesischen Geheimdiensten, die Kommunikation einzelner Zielpersonen sowie deren Standorte zu überwachen.
Die Sicherheitsforscher von Googles "Threat Intelligence Group" betonen die außerordentliche "Vertrautheit dieses Akteurs mit Telekommunikationssystemen", was es Salt Typhoon erleichtert, nach einem erfolgreichen Einbruch in die Netzwerke nicht entdeckt zu werden. "Viele der besonders erfolgreichen chinesischen Cyber-Spionageakteure, denen wir begegnen, verfügen über tiefgehendes Fachwissen in den Technologien", erklärt John Hultquist, Chefanalyst der Google Threat Intelligence Group.
Lesen Sie auch
Hultquist hebt zudem die geschäftsmäßige Organisation dieser Cybergang hervor. "Ein Ökosystem aus Auftragnehmern, Akademikern und anderen Unterstützern bildet das Herzstück der chinesischen Cyber-Spionage", führt er fort. "Auftragnehmer werden eingesetzt, um Werkzeuge und wertvolle Exploits zu entwickeln sowie die schmutzige Arbeit von Eindringungsoperationen durchzuführen. Sie waren entscheidend für die schnelle Weiterentwicklung dieser Operationen und ihre Ausweitung auf ein beispielloses Ausmaß."
Neben der Telekommunikationsinfrastruktur haben die Angreifer mit Verbindung zur chinesischen Regierung aber auch andere Branchen im Visier. Denn auch der "Gastgewerbe- und Transportsektor könnte dazu genutzt werden, Einzelpersonen engmaschig zu überwachen", so Hultquist weiter. "Informationen aus diesen Branchen können verwendet werden, um ein vollständiges Bild davon zu erstellen, mit wem jemand spricht, wo er sich aufhält und wohin er unterwegs ist."
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare