"Volt Typhoon": Erhöhte Wachsamkeit am Perimeter
Nach den Vorfällen um die "Volt Typhoon"-Aktivitäten sieht das BSI keinen direkten Handlungsgrund. Die NSA und Cybersicherheitsbehörden sprechen Warnungen aus.
(Bild: Black_Kira/Shutterstock.com)
Die Angriffe auf kritische Infrastrukturen wie Telekommunikationsnetze, Energieinfrastruktur und Verkehrswesen beschäftigt Nachrichtendienste, Hard- und Softwarehersteller. Die "Volt Typhoon" getaufte Gruppierung soll es vor allem auf US-Infrastruktur abgesehen und sich dabei über Anwendungen für kleine Unternehmen und Endverbraucher Zugang zu Netzwerken verschafft haben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht Grund zur Sorge – aber keine neue Gefahr.
BSI sieht keinen direkten Grund zum Handeln
Microsoft sieht als Urheber der Attacken mit mittlerer Wahrscheinlichkeit eine staatsnahe chinesische Gruppierung am Werk. Die Angreifer hätten es dabei vorwiegend auf das Abgreifen von Daten auf Rechnern und in Webanwendungen abgesehen, erklärte Microsoft. Als Einfallstor beschreibt der Softwarehersteller ausgerechnet die Fortinet Fortigate-Lösungen, die eigentlich vor Angriffen schützen sollen. Wie genau die Gruppe Zugriff auf diese bekam, untersuchten die hauseigenen Spezialisten aber noch. Allerdings scheint klar, dass die Konfiguration der Rechte der Fortinet-Produkte als Active-Directory-Nutzer eine wesentliche Rolle dabei spielt, wie die Angreifer sich anschließend in den kompromittierten Netzwerken weiterbewegten.
Das BSI sieht durch die bekannt gewordenen Details keinen direkten Grund zum Handeln: "Aus Sicht des BSI handelt es sich bei dem beschriebenen Vorgehen nicht um einen neuartigen Angriffsvektor", erklärt ein Sprecher auf Anfrage. "Von außen erreichbare, verwundbare Appliances, wie unter anderem Firewalls, sind immer häufiger Ziel von Cyber-Angriffen." Die Unternehmen sollten sich allerdings konsequent an die Empfehlungen des BSI halten. Die Bonner Behörde warnt schon seit längerem vor Angriffen auf Perimeter-Systeme, die "vergleichsweise schlecht geschützt" am Internet hingen, wie es im Lagebericht 2022 hieß.
In seiner Untersuchung kommt Microsoft zu dem Schluss, dass Volt Typhoon vor allem deshalb unauffällig agiert habe, weil die Gruppe mit erhöhten Privilegien vor allem auf grundsätzlich zulässige Standardfunktionen und Systemtools zurückgegriffen habe. Insbesondere die PowerShell-, wmic-, ntdsutil- und netsh-Dienste spielten dabei eine wesentliche Rolle.
Warnungen von der NSA, Nachrichtendiensten und Cybersicherheitsbehörden
Deutliche Warnungen kamen von der NSA und den Nachrichtendiensten und Cybersicherheitsbehörden der sogenannten Five Eyes-Staaten. In einem 24-seitigen Advisory (PDF) geben die Behörden Empfehlungen zur Detektion und Mitigierung möglicher Angriffe. Bei einem erfolgreichen Zugang sollen die Angreifer anschließend über aus dem Internet erreichbare HTTP- oder SSH-Adminzugänge Router und andere Netzwerkgeräte, darunter Produkte von Asus, Cisco, D-Link, Netgear und Zyxel als Proxies für die ausgehenden Verkehre genutzt haben, um Spuren zu verwischen.
Eine besondere politische Brisanz haben die Angriffe der chinesischen Gruppierung im politisch-zeitlichen Kontext: Sie sollen erstmals etwa zu dem Zeitpunkt entdeckt worden sein, als die Vereinigten Staaten chinesische Höhenballons – nach Angaben der USA vermutlich Spionageballons – über US-Luftraum abfingen. Zudem soll ein Schwerpunkt der Angriffsversuche auf der Insel Guam gelegen haben, dem wichtigsten Luftwaffenstützpunkt der US Air Force im nördlichen Pazifik. Gezielt sollen dabei militärnahe Infrastrukturen ausgespäht worden sein. Eine Sprecherin des chinesischen Außenministeriums wies die Vorwürfe zurück und erklärte, diese seien "Desinformation der US-Nachrichtendienste".
(bme)
