[English]Die US-Regierung hat gerade bekannt gegeben, dass das Spionage-Netzwerk von Volt Typhoon durch Remote-Befehle abgeschaltet wurde. Dieses, China zugeschriebene, Netzwerk infiltriert Router und zielt darauf ab, kritische Infrastruktur im Fall der Fälle abschalten zu können.
Das Volt Typhoon-Botnetz
Die Information wurde zum 31. Januar 2024 durch die US-Regierung veröffentlicht – nachfolgender Tweet weist auf diesen Sachverhalt hin. Der im Tweet erhobene Vorwurf: China zielt mit der Volt Typhoon-Malware auf kritische Infrastruktur in den USA und weiteren Verbündeten ab. Nach Angaben von US-Regierungsvertretern (siehe Wallstreet Journal, WSJ) bereitet sich Peking darauf vor, bei künftigen Konflikten, auch über Taiwan, potenziell schädliche Cyberangriffe zu starten.
Es heißt, dass Volt Typhoon-Botnetz habe hunderte von Routern infiziert und gekapert. Dann wurde das Botnetz dazu benutzt, heimlich kritische Infrastrukturnetze der USA und seiner Verbündeten anzugreifen. Die bisher entdeckten Aktivitäten des Botnetzwerks, die China zugeschrieben werden, seien „wahrscheinlich nur die Spitze des Eisbergs“, heißt es.
John Hultquist, Chief Analyst, Mandiant Intelligence – Google Cloud, schrieb mir in einer Mitteilung:
„Dieser Akteur betreibt nicht, wie in den USA üblich, das stille Sammeln von Informationen und den Diebstahl von Geheimnissen. Stattdessen sondiert er sensible kritische Infrastrukturen, um – falls und wenn der Befehl dazu kommt – entscheidende Dienste zu stören.“
Sandra Joyce, VP of Intelligence bei Mandiant, lässt sich mit den folgenden Aussagen zitieren:
„Volt Typhoon konzentriert sich darauf, kritische Infrastrukturen, wie beispielsweise Wasseraufbereitungsanlagen, Stromnetze usw. ins Visier zu nehmen. Indem der Akteur unter dem Radar fliegt, arbeitet er hart daran, Spuren zu reduzieren, mit denen wir ihre Aktivitäten über die Netzwerke verfolgen können.
Die Gruppierung nutzt kompromittierte Systeme, um unbemerkt Zugriff auf normale Netzwerkaktivitäten zu erhalten und ändert dabei ständig die Quelle ihrer Aktivitäten. Sie vermeidet die Verwendung von Malware, da diese einen Alarm auslösen und uns etwas Handfestes liefern könnte.
Derartige Aktivitäten zu verfolgen, ist äußerst schwierig, aber nicht unmöglich. Mandiant und Google konzentrieren sich darauf, dem Akteur einen Schritt voraus zu sein und arbeiten dabei eng mit Kunden und Partnern zusammen.
Es ist nicht das erste Mal, dass kritische US-Infrastrukturen auf diese Weise angegriffen werden. Bei mehreren Gelegenheiten wurden russische Geheimdienstakteure inmitten ähnlicher Operationen entdeckt, die schließlich aufgedeckt wurden. Derartige Operationen sind gefährlich und anspruchsvoll, aber nicht unmöglich.
Der Zweck von Volt Typhoon war es, sich unbemerkt für einen Eventualfall vorzubereiten. Glücklicherweise ist Volt Typhoon nicht unbemerkt geblieben, und auch wenn die Jagd eine Herausforderung ist, adaptieren wir uns, um die Sammlung von Informationen zu verbessern und [Aktionen] diesen[s] Akteur[s] zu vereiteln. Wir sehen ihre Schritte voraus, wir wissen, wie wir sie identifizieren können, und vor allem wissen wir, wie wir die Netzwerke, auf die sie abzielen, härten.“
Das Wallstreet Journal schreibt, dass hochrangige Vertreter der US-Behörde die Operation in ungewöhnlich unverblümter Form als Teil einer sich entwickelnden und zunehmend besorgniserregenden Kampagne Pekings, um in US-Computernetzwerken Fuß zu fassen, die für alles von sicherem Trinkwasser bis hin zum Flugverkehr verantwortlich sind, so dass es in einem zukünftigen Konflikt, auch über Taiwan, im Handumdrehen schädliche Cyberangriffe starten könnte.
Botnetz auf Routern abgeschaltet
Das US-Justizministerium und das FBI wurden im Dezember 2023 aktiv, nachdem sie die gerichtliche Genehmigung zur Zerschlagung eines Botnetzes oder Netzwerks gehackter Geräte erhalten hatten. Infizierte Router wurden von der Malware-Infektion bereinigt, indem die Verbindung zu den Malware-Kontrollservern unterbrochen und dann eine eine vorbereitete Software auf die Geräte installiert wurde. Diese bereinigte die Infektion und verhindert eine erneute Infektion.
Die Gerätebesitzer wurden nicht im Voraus über die Operation des FBI an den Routern informiert, da die Behörde das Problem dringend angehen wollte, geben FBI-Vertreter an. Das Volt Typhoon-Botnetz bestand aus infizierten Routern für kleine Büros und Heimbüros (SOHO). Beim Großteil dieser Geräte handelt es sich um Router von Cisco- und Netgear, die ihr End-of-Life erreicht hatten und keine Sicherheitsupdates der Firmware mehr erhielten (siehe auch den Kommentar weiter unten).
Die infizierten Router waren nicht notwendigerweise mit den kritischen Infrastrukturnetzwerken verbunden, auf die es die Hacker abgesehen hatten, teilten Vertreter der US-Regierung mit. Vielmehr habe es sich um Knotenpunkte gehandelt, die dazu dienten, ihre bösartigen Aktivitäten vor einer einfachen Entdeckung zu verbergen.
Mehr Informationen finden sich beim WSJ in diesem Artikel. Bleeping Computer schreibt hier, dass die US-CISA die Hersteller auffordert, mehr gegen Volt-Typhoon-Angriffe sichern müsse.
„Botnetz durch USA/FBI übernommen“ könnte man auch sagen.
Statt „böse“ Backdoor jetzt nur noch „gute“ Backdoor, die Welt ist gerettet.
Welche Routermodelle betroffen waren, wird leider in den Artikeln nicht genannt.
Hier finden sich einige weitere Infos, es werden „Cisco RV320s, DrayTek Vigor routers and Netgear ProSAFEs devices“ aufgeführt:
https://web.archive.org/web/20231226220137/https://www.securityweek.com/chinese-apt-volt-typhoon-linked-to-unkillable-soho-router-botnet/
https://www.securityweek.com/us-gov-disrupts-soho-router-botnet-used-by-chinese-apt-volt-typhoon/
Was ich auch nicht verstehe:
Warum hat kritische Infrastruktur eine Verbindung ins normale Internet?
Das ist doch schon ein grober strategischer Fehler!
Das gehört in ein isoliertes Netz!