[English]Die US National Security Agency (NSA) und andere US-amerikanische und ausländische Organisationen (z.B. das BSI) haben eine Sicherheitswarnung herausgegeben. Cybergruppen wie Salt Typhoon, die von der chinesischen Regierung unterstützt werden, greifen weltweit Netzwerke in den Bereichen Telekommunikation, Regierung, Transport, Beherbergung und militärische Infrastruktur an.
Es ist gelungen, die Akteure hinter fortgeschrittenen, hartnäckigen Bedrohungen (Advanced Persistent Threats, APT) aufzudecken. Die Akteure werden von der chinesischen Regierung unterstützt, und nehmen weltweit Netzwerke in den Bereichen Telekommunikation, Regierung, Transport, Beherbergung und militärische Infrastruktur ins Visier.
Diese Aktivitäten stehen laut den Warnungen in Verbindung mit mehreren in China ansässigen Unternehmen – darunter Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. und Sichuan Zhixin Ruijie Network Technology Co., Ltd. Diese Unternehmen stellen Cyberprodukte und entsprechende Dienstleistungen für das chinesische Ministerium für Staatssicherheit und die Volksbefreiungsarmee bereit.
Bei der Gruppe, die im Visier ist, handelt es sich um Salt Typhoon, die hier im Blog in verschiedenen Beiträgen mit Angriffen auf Netzwerke in Verbindung gebracht wurde (siehe Linkliste am Beitragsende).
Umfangreiche Information der CISA
Die US-Sicherheitsbehörde CISA weist in folgendem Tweet (und auf dieser Seite) auf die betreffende Warnung Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System (PDF mit 37 Seiten) hin.
Das umfangreiche PDF-Dokument enthält auch eine Liste geeigneter Maßnahmen zur Risikominderung.
Ergänzung: Das oben verlinkte CISA advisory gibt an, dass u.a. folgende Schwachstellen ausgenutzt werden:
- CVE-2024-21887: Ivanti Connect Secure and Ivanti Policy Secure web-component command injection vulnerability, commonly chained after CVE-2023-46805 (authentication bypass)
- CVE-2024-3400: Palo Alto Networks PAN-OS GlobalProtect arbitrary file creation leading to OS command injection. The CVE allows for unauthenticated remote code execution (RCE) on firewalls when GlobalProtect is enabled on specific versions/configurations.
- CVE-2023-20273: Cisco Internetworking Operating System (IOS) XE software web management user interface post-authentication command injection/privilege escalation (commonly chained with CVE-2023-20198 for initial access to achieve code execution as root) [T1068]
- CVE-2023-20198: Cisco IOS XE web user interface authentication bypass vulnerability
- CVE-2018-0171: Cisco IOS and IOS XE smart install remote code execution vulnerability
Mithilfe dieser Schwachstellen verschaffen sich die Angreifer Zugriff auf Routing- und Netzwerkgeräte, wodurch sie Zugriffskontrolllisten ändern, SSH auf nicht standardmäßigen Ports aktivieren, GRE/IPsec-Tunnel erstellen und Cisco Guest Shell-Container ausnutzen können, um ihre Präsenz aufrechtzuerhalten.
Warnung des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist, mit BND und weiteren deutschen Sicherheitsbehörden, mit im Verbund und hat zum 27. August 2025 ebenfalls eine Warnung (Gemeinsamer Sicherheitshinweis: Angriffe auf Telekommunikation durch SALT TYPHOON) veröffentlicht.
Laut BSI greift SALT TYPHOON primär Ziele im Bereich der Telekommunikation an, wobei der Fokus auf Telekommunikationsinfrastruktur liegt. Bei SALT TYPHOON handelt es sich um einen komplexen APT-Akteur, welcher auch unter den Aliasnamen GhostEmperor und FamousSparrow bekannt ist und weltweit Aktivitäten entfaltet.
Dem BSI sind weiterhin keine erfolgreichen Aktivitäten des Akteurs in Deutschland bekannt. Vorsorglich weist das BSI darauf hin, dass die im (obigen) CISA-Sicherheitshinweis enthaltenen Empfehlungen aber eine wichtige präventive Wirkung entfalten können. Der CISA-Sicherheitshinweis beschreibt maßgeblich die technische Vorgehensweise des Akteurs. Dabei werden für jede Stufe der sogenannten Killchain – von der initialen Kompromittierung bis zur Exfiltration von Daten – im Hinblick auf die Taktiken, Techniken und Prozeduren des Angreifers Hinweise geliefert.
Die im Anhang des Hinweises aufgeführten Detektions- und Mitigationsmaßnahmen dienen der Sicherung von Netzwerken und der Detektion etwaiger bereits stattgefundener Angriffe.
Mandiant Hinweise zu den Angriffen
Der bei Google angesiedelte Sicherheitsanbieter Mandiant hat mir gestern abend eine Stellungnahmen mit eigenen Erkenntnisse zugesandt. Demnach war Mandiant in die langwierige und herausfordernde Operation eingebunden, um diesen Akteur aus den globalen Telekommunikationssystemen zu drängen.
Zwar gebe es viele chinesische Cyber-Spionageakteure, die regelmäßig den Sektor Telekommunikation ins Visier nehmen. Doch die Vertrautheit dieses Akteurs (Salt Typhoon) mit Telekommunikationssystemen verschafft ihm, laut Mandiant, einen einzigartigen Vorteil, insbesondere wenn es darum geht, der Entdeckung zu entgehen.
Viele der besonders erfolgreichen chinesischen Cyber-Spionageakteure, denen Sicherheitsforscher von Mandiant bei Hacks begegnen, verfügen über tiefgehendes Fachwissen in den Technologien, die ihre Ziele nutzen. Das verschafft den Angreifern einen klaren Vorteil.
Mandiant hat noch einen interessanten Aspekt beigesteuert: Ein Ökosystem aus Auftragnehmern, Akademikern und anderen Unterstützern aus China bildet das Herzstück der chinesischen Cyber-Spionage. Auftragnehmer werden eingesetzt, um Werkzeuge und wertvolle Exploits zu entwickeln sowie die schmutzige Arbeit von Eindringungsoperationen durchzuführen. Dies war entscheidend für die schnelle Weiterentwicklung dieser Operationen und ihre Ausweitung auf ein beispielloses Ausmaß.
"Neben der Telekommunikation könnte das berichtete Vorgehen gegen den Gastgewerbe- und Transportsektor dazu genutzt werden, Einzelpersonen engmaschig zu überwachen. Informationen aus diesen Branchen können verwendet werden, um ein vollständiges Bild davon zu erstellen, mit wem jemand spricht, wo er sich aufhält und wohin er unterwegs ist." sagt John Hultquist, Chefanalyst der Google Threat Intelligence Group.
Ähnliche Artikel:
Verdacht: US-Breitbandanbieter durch chinesische Hacker infiltriert
Sicherheits-News: Black Basta Ransomware Chats geleakt; Salt Typhoon-Angriffe auf US-Provider
Erkenntnisse von T-Mobile (USA) über (chinesische) Hackerangriffe auf das Netz
Sicherheitsinfos: CISA erweitert Schwachstellenliste (Palo Alto Networks, Progress Kemp) und mehr
Patch für Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert
Microsoft schränkt Chinas frühzeitigen Zugriff auf Schwachstellen ein
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung
MVP: 2013 – 2016
Tolles Land mit toller Regierung! Wir kaufen für viele Milliarden Euro da ein und dann so etwas. Staatschefs aufwachen!
Ohne die Milliarden Euro Produkte von dort ist hier umgehend Ende Gelände, das wissen die Staatschefs…
So ist es. Wir haben kürzlich einen neuen Schank von einem Möbelhaus zusammengebaut, die Schubladenschienen kamen aus dem fernen Osten. Nahezu alle Produkte enthalten Import-Teile aus östlichen Ländern. Ich erinnere gerne an Coronazeiten. Sehr viele wirklich wichtige Importgüter aus dem Reich der Mitte fehlten uns extrem. Nahezu alle Lieferketten sind zusammengebrochen.Was hat sich seitdem geändert? So gut wie nichts. Wir können nicht ohne.
Zu "Wir können nicht ohne.":
Wer ist wir? Was soll Botschaft/Appell sein? Etwa 'wird sind deindustrialisiert und wollen es auch bleiben'?
Das nennt sich Realität oder wie stellen Sie sich das mittelfristig vor? Unternehmen wollen gewinnbringend produzieren und kaufen möglichst kostengünstig nötige Zukaufprodukte ein. Ohne China wird das so nicht mehr funktionieren.
Ich sehe keine meiner Fragen beantwortet. Betr. "Ohne China wird das so nicht mehr funktionieren.": Opferperspektive, traurig.
Tja, möglicherweise gehe ich in die Politik.
Selbstverständlich können wir das auch noch in Europa Produzieren, nur eben zu einem viel höheren Preis als in China Produziert wird!
Da ist der Hund begraben, wenn hier die Preise auf Geiz ist geil Reduziert werden, damit es jemand Kauft.
Sobald wir bereit sind wieder selbst herzustellen und auf China zu verzichten, werden wir auch unabhängiger.
Huh, der letzte Satz war jetzt aber Rhetorik pur, gell?! 😉
will halt keiner bezahlen… die Mehrkosten die durch Fertigung in Deutschland/EU entstehen.
Die andere Alternative zu den Mehrkosten — Löhne wie in China will auch keiner!
Machbar klar, nur die Konsequenzen willst auch du nicht tragen, ganz sicher!
Das käme nur dann in Frage wenn die gesamte Weltwirtschaft (durch was auch immer) am Boden Läge und man wieder anfangen müsste alles neu aufzubauen…
Betr. "Laut BSI greift SALT TYPHOON primär Ziele im Bereich der Telekommunikation an, wobei der Fokus auf Telekommunikationsinfrastruktur liegt.":
Mir ist nicht klar, ob das jetzt bspw. auch einen AVM-Router in einem Medizinischen Versorgungszentrum mit 30 VoIP-Endgeräten betreffen kann.
Generell fände ich es interessant wenn mehr Beiträge zu VoIP-Telefonie erschienen, insb. auch unter den Aspekten Verfügbarkeit, verbreitete Fehlkonfigurationen, Datenschutzverstösse infolge Mithörens und Mitschneiden, mangelnde Sprachqualität.
" einen AVM-Router in einem Medizinischen Versorgungszentrum mit 30 VoIP-Endgeräten " …. 30 ?
Nach dieser AVM-Website ganz sicher nicht möglich (10x VoIP).
https://fritz.com/service/wissensdatenbank/dok/FRITZ-Box-7690/1634_Anzahl-Telefoniegerate-die-mit-FRITZ-Box-verwendet-werden-konnen/
Unabhängig davon:
VoIP-Server/Dienste (z.B. Rechenzentren der Telkos) können immer angegriffen werden. Ob erfolgreich steht auf einem anderen Blatt.
(VoIP-) Geräte, die ihre Dienste in der Fritz!Box registrieren, sind m.E. durch die Fritz!Box (relativ gut?) geschützt.
VoIP-Clients, die einen Router (z.B. Fritz!box) nur als Sprungbrett ins Internet zu ihrem Telko (z.B. dus.net etc.) nehmen, müssen/sollten durch diesen geschützt sein …
Hmm…
Ich glaub', mit "Telekommunikationsinfrastruktur" ist wohl 'ne andere Ebene gemeint, als auf der eine FB eingesetzt wird. 🤷♂️
Möglich, aber nicht ausreichend sicher, um ein 'wir sind mit unserer Telefonie zu klein, um angegriffen zu werden' zu stützen.
Nach (1) müssen es nicht immer grosse 'Backbone-Topologien' sein, die in 's Visier genommen werden.
_
(1) https://aware7.com/de/blog/angriffe-auf-asterisk-telefonanlagen-besonders-beliebt/
Ja, ja, könnte, hätte, wenn und aber… ein "Risiko" ist IMMER existent, weil's eben für nichts "absolute Sicherheit" gibt.
Die alles entscheidende Frage dreht sich um die Wahrscheinlichkeit!
Zu "Die alles entscheidende Frage dreht sich um die Wahhrscheinlichkeit!":
Ja, und? Wie hoch ist die jetzt? Ihr Herumpoltern und Allgemeinplätze helfen bei der Beurteilung der Gefährdungslage für unterschiedliche Grössen und Arten installierter Topologien gegliedert nach Branchen/Sektoren nicht weiter. Gerne wieder wenn Sie Zahlen parat haben, Sie scheinen ja Experte zu sein.
und bedeutet letztendlich nur das man sich eben mehr um seine Eigenverantwortung kümmern muss und sich nicht einfach darauf verlässt das der Hersteller/Dienstanbieter/etc. dies schon tun wird.
Wie ich immer sage: Du bist verantwortlich, nicht andere!
Ist man dazu nicht in der Lage bist du fehl am Platze.
Real simple!
Wollen die Leute halt nur nicht hören. Klar es ist halt spviel einfacher die Fehler auf auf Andere zu schieben. Nur ja nicht selbst Verantwortung übernehmen.
Betr. "Du bist verantwortlich, nicht andere!":
Nein bin ich nicht! Wenn ich Opfer eines Angriffes nach Muster (1) wurde, indem bspw. Angreifer auf der PBX des für mich zuständigen Landratsamtes Gesprächsmitschnitte aktivierten und Telefonate ausleiteten, kann ich als Bürger genau garnichts tun, um Wiederholungen vorzubeugen.
_
(1) https://attack.mitre.org/techniques/T1616/
Doch, man müsste halt nur mal allgemeingesellschaftlich für Konsistenz auch wirklich mit strikter noch so "schmerzlicher" Konsequenz die als "nicht sicherheitskonform" empfundenen Produkte verbannen.
Das ist allerdings sowohl unbequem als auch für die Wirtschaft "schädlich" – also natürlich nicht gewünscht und so wird eben "par ordre du mufti" das Individualinteresse geringstpriorisiert dem Collateral Damage preis gegeben.
Im Bewußtsein dessen, wäre/ist eben SELBST präventiv zu handeln unerlässlich!