US-Regierungsbehörden: IT seit Jahren durch chinesische Angreifer unterwandert
Sicherheitsbehörden in den USA schlagen Alarm – Volt Typhoon ist bereits vor Jahren in kritische US-Infrastrukturen eingedrungen. Ursprung der Attacken: China.
In einer gemeinsamen Erklärung warnen unter anderem die US-amerikanischen Dienste CISA, NSA und FBI sowie kanadische, australische und britische Sicherheitsbehörden vor mutmaßlich regierungsnahen chinesischen Saboteuren. Diese, so die Einschätzung der Dienste, haben bereits seit Jahren kritische Infrastrukturen infiltriert und sich durch Sicherheitslücken dauerhaft eingenistet. Die Befürchtung: Zerstörerische Angriffe auf US-Einrichtungen könnten bevorstehen.
Wie der Bericht weiter ausführt, ist die Angreifergruppe "Volt Typhoon" bereits in den Netzwerken kritischer Einrichtungen aus dem Kommunikations-, Energie-, Transport- und Wassersektor erwischt worden. Da sie keine Spionage zu betreiben scheint, könnten andere Absichten hinter der Infiltration stecken: Im Fall eines verschärften Konflikts zwischen den USA und China wären die Chinesen so in der Lage, die Infrastruktur ihres Gegners empfindlich zu schädigen.
Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar – so haben Ivanti und FortiNet allein in den letzten Tagen kritische Sicherheitslücken in ihren Produkten offenbart, die Kriminellen den Einbruch ermöglichen.
Windows-Zugangsdaten mittels Rainbow Tables geknackt
(Bild: CISA)
Sind die chinesischen Cyberkrieger erst einmal über das VPN ins Netzwerk eingestiegen, nutzen sie weitere Exploits zur Erlangung von Administratorrechten. Um dauerhaften Zugang zu behalten, kopieren sie alle Zugangsdaten vom Domain-Controller, cracken diese in aller Ruhe mittels Rainbow Tables und nutzen die so erbeuteten Kennungen, um sich unauffällig im Zielnetzwerk zu bewegen.
Eigentliches Ziel der Eindringlinge, so die Sicherheitsbehörden, ist "Operational Technology" (OT), also etwa Steuerungsanlagen für Wasserkraftwerke oder Industriesteuerungen. Um ihre Präsenz zu maskieren, installieren die Chinesen keine Malware, die durch Sicherheitssoftware erkannt würde, sondern nutzen bereits auf den übernommenen Systemen installierte Werkzeuge wie certutil, PowerShell und netstat für ihre Zwecke. Diese Technik bezeichnen Sicherheitsexperten als "Living off the land" (LOTL).
Anders als Ransomware-Gangs oder Spione kopieren oder verschlüsseln die Mitglieder von Volt Typhoon auch nur wenige Datensätze – hauptsächlich solche, die spätere Angriffe auf die OT-Komponenten erleichtern, wie etwa Schaltpläne oder Anlagenhandbücher.
Neben der ausführlichen Sicherheitswarnung, die sich hauptsächlich an Unternehmen und Behörden unter der Jurisdiktion der US-Cybersicherheitsbehörde CISA richtet, hat diese auch technische Handreichungen veröffentlicht, um der Angreifer habhaft zu werden. Sie fordern Administratoren auf, ihre Systeme und Netzwerkgeräte schnellstmöglich zu patchen und die Angriffsfläche durch Härtungsmaßnahmen zu verringern.
Schaubild zum Ablauf eines Angriffs aus dem CISA-Report eingefügt.
(cku)
