Zwei US-Senatoren werfen dem Verteidigungsministerium (DOD) vor, nicht genug zu tun, um die Kommunikation seines Militärpersonals zu schützen, da die US-Regierung mit einer laufenden chinesischen Hackerkampagne gegen amerikanische Telefon- und Internetgiganten konfrontiert ist. Senatoren sagen, das Verteidigungsministerium verlasse sich immer noch zu stark auf altmodische Festnetzanrufe und unverschlüsselte Mobiltelefonanrufe und Textnachrichten, die anfällig für Spionage durch ausländische Spione seien.
Der demokratische Senator Ron Wyden aus Oregon und der republikanische Senator Eric Schmitt aus Missouri verweisen insbesondere auf Bedrohungen wie die chinesische Regierungsspionagegruppe Salt Typhoon, die kürzlich ins Leben gerufen wurde beschuldigt, große US-Telekommunikationsanbieter gehackt zu habeneinschließlich AT&T und Verizon, um Amerikaner auszuspionieren.
„Die weit verbreitete Einführung proprietärer und unsicherer Tools ist das direkte Ergebnis der Führungsrolle des Verteidigungsministeriums, die den Einsatz einer standardmäßigen Ende-zu-Ende-Verschlüsselung nicht vorschreibt, einer Best Practice im Bereich Cybersicherheit, sowie des Versäumnisses, der Kommunikationssicherheit bei der Bewertung verschiedener Sicherheitsplattformen Priorität einzuräumen “, die Senatoren schrieb in einem parteiübergreifenden Brief an die staatliche Aufsichtsbehörde des Verteidigungsministeriums. „Das Versäumnis des Verteidigungsministeriums, seine nicht klassifizierte Sprach-, Video- und Textkommunikation mit Ende-zu-Ende-Verschlüsselungstechnologie zu schützen, hat es unnötig anfällig für ausländische Spionage gemacht.“
Die Senatoren erwähnen auch SS7, ein jahrzehntealtes Protokoll, das Telefonanbieter auf der ganzen Welt immer noch zum Weiterleiten von Anrufen und Textnachrichten verwenden – und wird regelmäßig für Spionagezwecke ausgenutzt – und sein Nachfolgeprotokoll Diameter gelten als Schwachstellen, für die Mitarbeiter des Verteidigungsministeriums immer noch anfällig sind, da globale Telekommunikationsunternehmen noch keine neuen Methoden zur Sicherung regelmäßiger Anrufe und Textnachrichten während der Übertragung eingeführt haben.
Wyden und Schmitt fordern das Verteidigungsministerium auf, seine Verträge mit US-amerikanischen Telekommunikationsunternehmen zu überdenken und stattdessen „mit vertraglich vereinbarten Mobilfunkanbietern neu zu verhandeln, um von ihnen zu verlangen, erhebliche Cyber-Abwehrmaßnahmen gegen Überwachungsbedrohungen einzuführen und auf Anfrage Ihre Cybersicherheitsprüfungen Dritter offenzulegen.“ mit dem DOD.“
Der Brief der Senatoren enthält zwei Whitepapers – eines von Anfang Juli und eines von Oktober –, die das Verteidigungsministerium an Wydens Büro geschickt hat und in denen eine Reihe von Fragen zur Cybersicherheitslage des Ministeriums beantwortet wurden.
Auf eine Frage zum SS7 gibt der Chief Information Officer des US-Verteidigungsministeriums zu, dass das US-Verteidigungsministerium zustimmt, dass SS7 und Diameter nicht sicher sind, und schreibt, dass es „begrenzte Schutzmaßnahmen“ gegen Schwachstellen gibt, die die Träger selbst haben. „Deshalb verschlüsseln vom Verteidigungsministerium verwaltete mobile Lösungen Daten während der Übertragung, um sie vor passiver Erfassung zu schützen.“
Gleichzeitig schrieb der CIO, dass das Verteidigungsministerium keine eigenen Prüfungen durchführte und sich stattdessen auf eigene Prüfungen und Prüfungen von Telekommunikationsanbietern durch Dritte verließ. Das Verteidigungsministerium hat diese Prüfungen jedoch nicht überprüft, da die Transportunternehmen sie als geschützte vertrauliche Informationen zwischen Anwälten und Mandanten betrachten.
Der CIO gab außerdem zu, dass das Verteidigungsministerium Roaming nicht deaktiviert oder SS7- und Diameter-Verkehr abgelehnt hat, selbst für Benutzer des Verteidigungsministeriums in Russland, China und anderen Hochrisikoländern, von denen bekannt ist, dass sie Cyberangriffe auf Telefone durchführen.
Jeffrey Castro, ein Sprecher des Generalinspekteurs des Verteidigungsministeriums, sagte gegenüber TechCrunch, dass der Wachhund den Brief erhalten habe und ihn prüfe.
