- Salt Typhoon dringt in Telefonnetze ein und überwacht US-Amerikaner in Echtzeit. Die Hackergruppe greift gezielt Cisco-Geräte an und nutzt Schwachstellen zur vollständigen Kontrolle. Taktiken umfassen die Nutzung von Routing-Tunneln für dauerhaften Zugriff und Datenexfiltration. Trotz öffentlicher Enthüllungen und Sanktionen setzen sie ihre Angriffe weltweit fort. Analysten sehen keine Abnahme der Aktivitäten von Salt Typhoon.
Im vergangenen Herbst wurde bekannt, dass die chinesische Hackergruppe, bekannt als Salt Typhoon, in nicht weniger als neun Telefonnetze eingedrungen ist und die Texte und Anrufe von US-Amerikanern in Echtzeit überwacht hat. Diese Cyberattacke wurde von der US-Regierung als eine ernsthafte Bedrohung angesehen. Trotz der hohen öffentlichen Aufmerksamkeit, die diese Hacker auf sich gezogen haben, setzen sie ihre Angriffe auf Telekommunikationsnetzwerke weltweit fort, einschließlich der USA. Laut einem Bericht der Cybersicherheitsfirma Recorded Future hat Salt Typhoon zwischen Dezember und Januar fünf Telekommunikations- und Internetdienstanbieter sowie über ein Dutzend Universitäten von Utah bis Vietnam angegriffen.
Unterschätzte Aggression
Eine besonders beunruhigende Entwicklung ist, dass Salt Typhoon die internet-exponierten Webinterfaces von Cisco’s IOS-Software, die auf den Routern und Switches des Netzwerkriesen läuft, ins Visier genommen hat. Die Hacker nutzen zwei verschiedene Schwachstellen in diesem Code aus, von denen eine den ersten Zugriff ermöglicht, während die andere ihnen Root-Rechte verschafft. Damit erlangen sie die volle Kontrolle über ein normalerweise mächtiges Gerät. Experten von Recorded Future bestätigten die weltweite Angriffsreihe auf über 12.000 online exponierte Cisco-Geräte. Die Hacker konzentrierten sich auf eine kleinere Untergruppe von Telekommunikations- und Universitätsnetzwerken, die erfolgreich infiltriert wurden.
Strategietechniken der Hacker
Salt Typhoon konfiguriert die gehackten Cisco-Geräte so, dass sie über generische Routing-Encapsulation-Tunnel mit den Kommando- und Kontrollservern der Hacker verbunden werden. Diese Tunnels dienen der Aufrechterhaltung des Zugriffs und zur Datenexfiltration. Die Vorgehensweise von Salt Typhoon zeigt die alltägliche Nutzung von Netzwerkknoten als Einstiegspunkte, meist durch Ausnutzung bekannter Schwachstellen, die von den Gerätebesitzern nicht gepatcht wurden. Diese Netzgeräte verfügen typischerweise über weniger Sicherheitskontrollen und Überwachungssoftware als traditionelle Computergeräte wie Server und PCs. Dies bietet eine Erklärung, warum solche Geräte ein prominentes Ziel bleiben.
Weiterhin ungebremster Fortschritt
Trotz der öffentlichen Enthüllungen und selbst der Sanktionen, die von der US-Regierung gegen affiliierte Unternehmen verhängt wurden, zeigen die Analysten von Recorded Future keine signifikante Abnahme der Angriffshäufigkeit von Salt Typhoon. Noch im Januar 2023 sanktionierte das US-Finanzministerium die Sichuan Juxinhe Network Technology, die mit den Aktivitäten von Salt Typhoon in Verbindung gebracht wird. Dennoch setzt Salt Typhoon seine eindringenden Aktivitäten ohne sichtbare Verzögerung fort. Jonathan Condra, ein Analyst von Recorded Future, weist darauf hin, dass sie nach wie vor äußerst mutig agieren.
