Von den Cybersicherheitsrisiken, mit denen die Vereinigten Staaten heute konfrontiert sind, sind nur wenige größer als die potenziellen Sabotagefähigkeiten, die von von China unterstützten Hackern ausgehen, die hochrangige nationale Sicherheitsbeamte der USA als „epochale Bedrohung“ bezeichnet haben.
Die USA sagen, dass von der chinesischen Regierung unterstützte Hacker – in einigen Fällen schon seit Jahren – tief in die kritischen Infrastrukturnetze der USA eingedrungen sind, darunter Wasser-, Energie- und Transportanbieter. Das Ziel besteht laut offiziellen Angaben darin, den Grundstein für potenziell zerstörerische Cyberangriffe im Falle eines künftigen Konflikts zwischen China und den Vereinigten Staaten wie diesem zu legen eine mögliche chinesische Invasion in Taiwan.
„Chinas Hacker positionieren sich in der amerikanischen Infrastruktur, um Chaos anzurichten und amerikanischen Bürgern und Gemeinschaften realen Schaden zuzufügen, falls oder wenn China entscheidet, dass die Zeit für einen Angriff gekommen ist“, sagte der damals scheidende FBI-Direktor Christopher Wray gegenüber den Gesetzgebern letztes Jahr.
Seitdem sind die US-Regierung und ihre Verbündeten gegen einige Mitglieder der „Typhoon“-Familie chinesischer Hackergruppen vorgegangen und haben neue Details über die von diesen Gruppen ausgehenden Bedrohungen veröffentlicht.
Im Januar 2024 wurde die Die USA haben den „Volt Taifun“ gestoppt Eine Gruppe chinesischer Regierungshacker mit der Aufgabe, den Grundstein für zerstörerische Cyberangriffe zu legen. Später, im September 2024, Bundesbehörden übernahmen die Kontrolle über ein Botnetz Angeführt von einer anderen chinesischen Hackergruppe namens „Flax Typhoon“, die ein in Peking ansässiges Cybersicherheitsunternehmen nutzte, um die Aktivitäten der Hacker vor der chinesischen Regierung zu verbergen. Dann, im Dezember, verhängte die US-Regierung Sanktionen gegen das Cybersicherheitsunternehmen wegen seiner angeblichen Rolle bei „mehreren Computerangriffen gegen US-Opfer“.
Seitdem ist eine weitere von China unterstützte Hackergruppe namens „Salt Typhoon“ in den Netzwerken US-amerikanischer Telefon- und Internetgiganten aufgetaucht, die in der Lage ist, Informationen über Amerikaner – und potenzielle US-Überwachungsziele – zu sammeln, indem sie die für das Abhören durch die Polizei verwendeten Telekommunikationssysteme kompromittiert .
Und ein chinesischer Bedrohungsakteur namens Silk Typhoon (früher bekannt als Hafnium), eine Hackergruppe, die seit mindestens 2021 aktiv ist, kehrte im Dezember 2024 mit einer neuen Kampagne gegen das US-Finanzministerium zurück.
Hier ist, was wir über chinesische Hackergruppen gelernt haben, die sich auf einen Krieg vorbereiten.
Taifun Volt
Volt Typhoon repräsentiert eine neue Generation von von China unterstützten Hackergruppen; Es zielte nicht mehr nur darauf ab, sensible US-Geheimnisse zu stehlen, sondern vielmehr darauf vorzubereiten, die „Mobilisierungsfähigkeit“ des US-Militärs zu stören, so der damalige Direktor des FBI.
Microsoft hat erstmals den Volt Typhoon identifiziert im Mai 2023 und stellte fest, dass Hacker seit mindestens Mitte 2021 Netzwerkgeräte wie Router, Firewalls und VPNs angegriffen und kompromittiert hatten, als Teil einer fortlaufenden und konzertierten Anstrengung, kritische Infrastruktursysteme der USA tief zu infiltrieren. Die US-Geheimdienste sagten, dass es in Wirklichkeit wahrscheinlich sei, dass die Hacker schon viel länger im Einsatz seien. möglicherweise für bis zu fünf Jahre.
Volt Typhoon hat in den Monaten nach dem Bericht von Microsoft Tausende dieser mit dem Internet verbundenen Geräte kompromittiert und dabei Schwachstellen in Geräten ausgenutzt, die als „End-of-Life“ galten und daher keine Sicherheitsupdates mehr erhalten würden. Anschließend erlangte die Hackergruppe besseren Zugang zu den IT-Umgebungen mehrerer kritischer Infrastruktursektoren, darunter Luftfahrt, Wasser, Energie und Transport, und bereitete sich darauf vor, zukünftige disruptive Cyberangriffe zu starten, die darauf abzielen, die Reaktion der US-Regierung auf eine Invasion ihres Hauptverbündeten Taiwan zu verlangsamen .
„Dieser Schauspieler betreibt nicht die stille Informationsbeschaffung und den Diebstahl von Geheimnissen, die in den USA die Norm waren. Sie untersuchen sensible kritische Infrastrukturen, damit sie wichtige Dienste unterbrechen können, wenn die Anordnung aufgehoben wird“, sagte John Hultquist, Chefanalyst beim Sicherheitsunternehmen Mandiant.
DER Das teilte die US-Regierung im Januar 2024 mit dass er a erfolgreich gestoppt hatte BotnetzWird von Volt Typhoon verwendet, das aus Tausenden von in den USA ansässigen Heim- und Kleinbüro-Netzwerk-Routern besteht und mit denen die chinesische Hackergruppe ihre böswilligen Aktivitäten verheimlichte, die auf kritische US-Infrastrukturen abzielten. Das FBI sagte, es sei in der Lage gewesen, die Malware durch eine gerichtlich genehmigte Operation von den gekaperten Routern zu entfernen und damit die Verbindung der chinesischen Hackergruppe zum Botnetz zu trennen.
Im Januar 2025, Die USA entdeckten mehr als 100 Einbrüche Laut einem Bloomberg-Bericht sind im ganzen Land und in seinen Territorien mit dem Volt-Taifun in Zusammenhang stehende Schäden zu verzeichnen. Eine große Zahl dieser Angriffe richtete sich gegen Guam, ein US-amerikanisches Inselgebiet im Pazifik und strategischer Standort für amerikanische Militäroperationen, heißt es in dem Bericht. Der Volt-Taifun zielte angeblich auf kritische Infrastrukturen auf der Insel ab, darunter die wichtigste Energiebehörde, den größten Mobilfunkanbieter der Insel und mehrere US-Bundesnetze, darunter sensible Verteidigungssysteme mit Sitz in Guam. Bloomberg berichtete, dass Volt Typhoon eine völlig neue Art von Malware einsetzte, um Netzwerke in Guam anzugreifen, die es noch nie zuvor eingesetzt hatte, was Forscher als Zeichen der großen Bedeutung interpretierten, die die Region für von China unterstützte Hacker hat.
Flachs-Taifun
Flax Typhoon, einige Monate später von Microsoft veröffentlicht ein Bericht vom August 2023ist eine weitere von China unterstützte Hackergruppe, die nach Angaben der Behörden in den letzten Jahren unter dem Deckmantel eines in Peking ansässigen börsennotierten Cybersicherheitsunternehmens Hackerangriffe auf kritische Infrastrukturen durchgeführt hat. Microsoft sagte, dass Flax Typhoon – ebenfalls seit Mitte 2021 aktiv – vor allem Dutzende von „Regierungsbehörden und Bildungs-, kritischen Produktions- und Informationstechnologieorganisationen in Taiwan“ ins Visier genommen habe.
Dann, im September 2023, die Die US-Regierung sagte, sie habe die Kontrolle über ein weiteres Botnetz übernommendie aus Hunderttausenden gekaperten, mit dem Internet verbundenen Geräten bestand, und Wird von Flax Typhoon verwendet „böswillige Cyberaktivitäten durchzuführen, die als routinemäßiger Internetverkehr von infizierten Verbrauchergeräten getarnt sind.“ Staatsanwälte sagten, das Botnetz habe es anderen von der chinesischen Regierung unterstützten Hackern ermöglicht, „in Netzwerke in den USA und auf der ganzen Welt einzudringen, um Informationen zu stehlen und unsere Infrastruktur zu gefährden“.
Das Justizministerium bestätigte später die Erkenntnisse von Microsoft und fügte hinzu, dass Flax Typhoon auch „mehrere US-amerikanische und ausländische Unternehmen angegriffen“ habe.
US-Beamte sagten, das von Flax Typhoon genutzte Botnetz sei von der in Peking ansässigen Cybersicherheitsfirma Integrity Technology Group betrieben und kontrolliert worden. Im Januar 2024 wurde die Die US-Regierung verhängte Sanktionen bei Integrity Tech über seine angeblichen Verbindungen zu Flax Typhoon.
Salztaifun
Die neueste – und möglicherweise unheimlichste – von der chinesischen Regierung unterstützte Cyber-Armeegruppe, die in den letzten Monaten entdeckt wurde, ist Salt Typhoon.
Salt Typhoon sorgte im Oktober 2024 für Schlagzeilen wegen einer anderen Art von Geheimdienstoperation. Als erstmals berichtet vom Wall Street JournalDie mit China verbundene Hackergruppe hat mehrere US-amerikanische Telekommunikations- und Internetanbieter kompromittiert, darunter AT&T, Lumen (ehemals CenturyLink) und Verizon. Das Tagebuch Ende Januar 2025 gemeldet dass Salt Typhoon auch gegen die in den USA ansässigen Internetanbieter Charter Communications und Windstream verstoßen hat. Die US-Cyber-Beamtin Anne Neuberger sagte, die Bundesregierung habe ein neuntes, nicht identifiziertes, gehacktes Telekommunikationsunternehmen identifiziert.
Entsprechend ein BerichtSalt Typhoon hat sich möglicherweise über kompromittierte Cisco-Router Zugang zu diesen Telekommunikationsunternehmen verschafft. Sobald die Angreifer in die Netzwerke des Telekommunikationsunternehmens gelangten, konnten sie darauf zugreifen Kundenanruf- und SMS-Metadateneinschließlich Zeitstempel der Kundenkommunikation, Quell- und Ziel-IP-Adressen und Telefonnummern von mehr als einer Million Benutzern; Bei den meisten handelte es sich um Personen aus der Gegend von Washington D.C. In einigen Fällen waren es Hacker Kann Telefonaudio von älteren Amerikanern aufnehmen. Neuberger sagte, eine „große Zahl“ derjenigen, die auf Daten zugegriffen hätten, seien „Ziele von staatlichem Interesse“.
Beim Hacken von Systemen die Strafverfolgungsbehörden zur gerichtlich genehmigten Erhebung von Kundendaten nutzenDer Salt Typhoon hat möglicherweise auch Zugang zu Daten und Systemen erhalten, die einen Großteil der Datenanfragen der US-Regierung enthalten, einschließlich der Identität potenzieller chinesischer Ziele der US-Überwachung.
Es ist noch nicht bekannt, wann es zu dem Verstoß gegen die Abhörsysteme kam, er könnte aber laut dem Journal-Bericht auf Anfang 2024 zurückgehen.
AT&T und Verizon teilten TechCrunch im Dezember 2024 mit dass ihre Netzwerke sicher waren, nachdem sie von der Spionagegruppe Salt Typhoon angegriffen wurden. Lumen kurz darauf bestätigt dass Ihr Netzwerk frei von Hackern war.
Seidentaifun
Die von China unterstützte Hackergruppe, die früher als Hafnium bekannt war, ist stillschweigend wieder unter dem neuen Namen Silk Typhoon aufgetaucht, nachdem sie mit a in Verbindung gebracht wurde Dezember 2024 US-Finanzministerium-Hack.
In ein Brief an den Gesetzgeber, gesehen von TechCrunchDas US-Finanzministerium teilte Ende Dezember 2024 mit, dass von China unterstützte Hacker einen von BeyondTrust gestohlenen Schlüssel verwendet hätten, um sich Fernzugriff auf bestimmte Computerarbeitsplätze von Finanzbeamten zu verschaffen, darunter auch auf interne Dokumente Das nicht klassifizierte Netzwerk der Abteilung.
Während des Hacks beteiligte sich auch die staatlich geförderte Hackergruppe kompromittiert das Sanktionsbüro des Finanzministeriumsdas Wirtschafts- und Handelssanktionen gegen Länder und Einzelpersonen verhängt; Und auch verletzt im Dezember das Treasury Committee on Foreign Investment (CFIUS), eine Behörde, die befugt ist, chinesische Investitionen in den Vereinigten Staaten zu blockieren.
Silk Typhoon ist keine neue Bedrohungsgruppe, sondern sorgte bereits im Jahr 2021 für Schlagzeilen wie Hafnium – wie es damals genannt wurde Ausnutzung von Schwachstellen in selbstgehosteten Microsoft Exchange-E-Mail-Servern die mehr als 60.000 Organisationen gefährdete.
Entsprechend Microsoftdas verfolgt die Von der Regierung unterstützte HackergruppeSilk Typhoon konzentriert sich in der Regel auf Aufklärung und Datendiebstahl und zielt bekanntermaßen auf Gesundheitsorganisationen, Anwaltskanzleien und Nichtregierungsorganisationen in Australien, Japan, Vietnam und den Vereinigten Staaten ab.
Erstveröffentlichung am 13. Oktober 2024 und aktualisiert.
