Microsoft hat gewarnt, dass eine staatlich geförderte chinesische Hackergruppe „kritische“ Infrastruktur in den USA kompromittiert hat, um im Krisenfall die Kommunikation zwischen dem Land und Asien zu stören.
In einer seltenen Ankündigung über einen Systemverstoß sagte der US-Technologiekonzern, dass die Hacker mit dem Codenamen „Volt Typhoon“ seit Mitte 2021 im Einsatz seien. Sie seien in der Lage gewesen, Unternehmen aus allen Branchen zu infiltrieren, indem sie Schwachstellen in einer beliebten Cyber-Sicherheitsplattform namens FortiGuard ausnutzten, sagte Microsoft.
„In dieser Kampagne umfassen die betroffenen Organisationen die Bereiche Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung“, sagte Microsoft. Es fügte hinzu, dass sich die Aktionen der Hackergruppe auf das Sammeln von Informationen und Spionage konzentriert hätten und nicht auf sofortige Störungen.
Es fügte hinzu: „Microsoft geht mit mäßiger Zuversicht davon aus, dass diese Volt-Typhoon-Kampagne die Entwicklung von Fähigkeiten anstrebt, die bei künftigen Krisen die kritische Kommunikationsinfrastruktur zwischen den Vereinigten Staaten und der Region Asien stören könnten.“
Microsoft sagte, es habe gezielte oder kompromittierte Kunden benachrichtigt und sie aufgefordert, ihre Konten zu schließen oder zu sichern.
Die US-amerikanischen und internationalen Cyber-Sicherheitsbehörden haben am Mittwoch eine gemeinsame Warnmeldung zum Volt Typhoon herausgegeben, in der auch vor staatlich geförderten Cyber-Bedrohungen Chinas gewarnt wurde.
Rob Joyce, Cyber-Sicherheitsdirektor der US-amerikanischen National Security Agency, sagte: „Ein staatlich geförderter Akteur aus der Volksrepublik China lebt vom Land, nutzt eingebaute Netzwerktools, um unseren Abwehrmaßnahmen zu entgehen und hinterlässt keine Spuren.“ Deshalb ist es für uns unerlässlich, gemeinsam daran zu arbeiten, den Akteur zu finden und aus unseren kritischen Netzwerken zu entfernen.“
„Living off the land“ bezieht sich auf Cyber-Angriffe, bei denen legitime, bereits auf den Geräten einer Person installierte Tools genutzt werden, um einen Hack auszuführen. Dies macht die Erkennung weitaus schwieriger als herkömmliche Malware-Angriffe, bei denen das Opfer normalerweise Dateien herunterlädt.
John Hultquist, Chefanalyst bei Mandiant Intelligence – einem Cyber-Abwehrdienst von Google – sagte, der Volt Typhoon-Hack sei „aggressiv und potenziell gefährlich“ gewesen.
„Chinesische Cyber-Bedrohungsakteure sind im Vergleich zu ihren Mitbewerbern insofern einzigartig, als sie nicht regelmäßig auf destruktive und störende Cyber-Angriffe zurückgegriffen haben. Daher ist ihre Leistungsfähigkeit recht undurchsichtig. „Diese Offenlegung ist eine seltene Gelegenheit, diese Bedrohung zu untersuchen und sich darauf vorzubereiten“, sagte er.