Barracuda full logo

Volt Typhoon's zukünftiger Krieg

Themen:
14. März. 2024
|
Christine Barry

Es gibt viele gefährliche Bedrohungsakteure da draußen, aber Volt Typhoon könnte der gefährlichste für unsere physische Sicherheit und unser Wohlergehen sein. Wir wissen bereits, dass Cyberangriffe Auswirkungen über den digitalen Bereich hinaus haben. Colonial Pipeline und JBS Foods erlitten Ransomware-Angriffe, die kritische Lieferketten in den Vereinigten Staaten unterbrachen. Bedrohungsakteure haben bereits die US-Wirtschaft und kritische Infrastrukturen beeinträchtigt. Der größte Teil dieser Internetkriminalität ist auf finanziellen Gewinn ausgerichtet. Lockbit und ALPHV behaupteten beide, unpolitisch und nur an Geld interessiert zu sein.

Andere Bedrohungsakteure betreiben Cyberspionage und Cyber-Kriegsführung. Herkömmliche Cyberspionage bezieht sich auf Angriffe, die den Bedrohungsakteuren einen Wettbewerbsvorteil gegenüber einem anderen Unternehmen oder einer staatlichen Einrichtung verschaffen. Ein Beispiel für Cyberspionage ist die Reihe von Angriffen auf Universitäten, die Forschungs- und Entwicklungsaktivitäten für militärische Anwendungen durchführen. Bei Spionage handelt es sich in der Regel um die Arbeit von Advanced Persistent Threats (APTs), die so lange wie möglich im System bleiben und Informationen sammeln oder zerstörerische Aktivitäten durchführen. Im Gegensatz dazu handelt es sich bei der Cyber-Kriegsführung wahrscheinlich um einen schnellen Angriff, der darauf abzielt, aus strategischen Zwecken Aktivitäten zu stören und Chaos zu schaffen. Der russische Angriff auf ukrainische Ziele im Jahr 2017(WannaCry, NotPetya) war ein Akt der Cyber-Kriegsführung.

Wir alle kennen Cyberangriffe, Cyberspionage und Cyber-Kriegsführung. Was ist also das Besondere an Volt Typhoon?

Was ist Volt Typhoon?

Volt Typhoon ist auch als Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite und Insidious Taurus bekannt. Diese Gruppe ist ein APT-Akteur, der von der Volksrepublik China unterstützt wird. Volt Typhoon führt jedoch seit Mitte 2021 traditionelle Cyberspionageaktivitäten gegen US-Ziele durch. Die US-Behörden haben inzwischen herausgefunden, dass Volt Typhoon seit „mindestens fünf Jahren Zugang zu einigen IT-Umgebungen der Opfer hat und dort Fuß gefasst hat“. Diese Opferunternehmen sind hauptsächlich in den Bereichen Kommunikation, Energie, Transport und Wasser/Abwasser in den Vereinigten Staaten tätig. Kritische Sektoren anzugreifen ist nichts Neues, aber die Ziele von Volt Typhoon deuten auf eine andere Art von Angriff hin. Von Reuters:

 

„Wir sind außerordentlich besorgt über die bösartigen Cyber-Aktivitäten des staatlich unterstützten Akteurs aus der VRC, der von der Industrie als Volt Typhoon bezeichnet wird“ sagte Eric Goldstein, ein hochrangiger CISA-Beamter, der sich auf die Volksrepublik China bezieht, gegenüber Reuters, bevor die Erklärung veröffentlicht wurde. „Die meisten der von uns identifizierten Opfer haben keinen legitimen Spionagewert.“

 

Das bringt uns zu dem im Februar veröffentlichten Cybersecurity Advisory (Cybersecurity-Hinweis), der US-Unternehmen und die Öffentlichkeit vor etwas warnt, das als Pre-Positioning (Vorab-Positionierung) bezeichnet wird.

Herkömmliche Cyberspionage vs. Pre-Positioning.

Pre-Positioning-Angriffe sind Versuche, kritische Systeme für eine potenzielle Sabotage in der Zukunft zu infiltrieren. Dies unterscheidet sich von herkömmlicher Cyberspionage, die auf unmittelbaren Datendiebstahl oder das unmittelbare Sammeln von Informationen abzielt. Wenn Volt Typhoon ein System kompromittiert, beginnt ein menschlicher Bedrohungsakteur mit Aktivitäten über die Tastatur und nutzt vorhandene Systemtools der Zielumgebung, um sich lateral durch das Netzwerk zu bewegen, eine Entdeckung zu vermeiden und eine langfristige versteckte und schlafende Bedrohung aufzubauen. Die Gruppe setzt bei ihren Angriffen selten Malware ein. Die praktische Aktivität und die Abwesenheit von Malware zeigen ein hohes Maß an Engagement und Raffinesse von Volt Typhoon.

Pre-Positioning stellt eine strategische Veränderung durch einen Bedrohungsakteur der VR China dar, um sich auf zukünftige Spannungen oder militärische Konflikte vorzubereiten. Obwohl die US-Behörden inzwischen über Beweise für ein langfristiges Pre-Positioning verfügen, wird es in dieser Untersuchung des Center for Strategic and International Studies (CSIS) zu chinesischer Spionage bei keinem Angriff erwähnt. Die CSIS-Studie untersuchte Angriffe auf US-Einrichtungen in den Jahren 2000-2023. Hier eine teilweise demografische Aufschlüsselung dieser Daten:

  • An 49 % der Vorfälle waren direkt chinesische Militär- oder Regierungsmitarbeiter beteiligt.
  • Bei 46 % der Vorfälle handelte es sich um Cyberspionage, meist durch staatsnahe Akteure.
  • Bei 29 % der Vorfälle ging es um den Erhalt militärischer Technologie.
  • Bei 54 % der Vorfälle ging es um den Erhalt kommerzieller Technologien.
  • Bei 17 % der Vorfälle ging es um den Erhalt von Informationen über zivile US-Behörden oder Politiker.

Bei dieser Untersuchung wurden nur Angriffe analysiert, die der Öffentlichkeit bekannt waren. Nicht gemeldete Angriffe und vertrauliche Informationen sind ausgeklammert.

Die Fähigkeit staatlich unterstützter Akteure, sich in wichtige Systeme einzuschleusen, stellt eine direkte physische Bedrohung für die Menschen in den Vereinigten Staaten und anderen Zielländern dar. Eine Störung der kritischen Systeme in den USA könnte eine Reaktion auf Bundesebene erzwingen, die einen beträchtlichen Teil der US-Ressourcen in Anspruch nimmt. Das könnte dann die Fähigkeit der USA einschränken, ausländischen Verbündeten beizustehen. Im Juni 2022 bestritt die VR China jegliche Beteiligung an Cyberspionage:

Ein Sprecher der chinesischen Botschaft in Washington, Liu Pengyu, wies die Anschuldigungen der westlichen Regierungschefs zurück. In einer per E-Mail an Associated Press gesendeten Erklärung erläuterte er, China lehne „alle Formen von Cyberangriffen entschieden ab und bekämpfe diese“, und bezeichnete die Anschuldigungen als haltlos.

„Wir werden niemals Cyberangriffe fördern, unterstützen oder dulden“, heißt es in der Erklärung.

Die USA sind nicht das einzige Ziel von Volt Typhoon und anderen Bedrohungsakteuren der VR China. Volt Typhoon hat wichtige Infrastrukturen und Wirtschaftssektoren in Australien, Kanada und dem Vereinigten Königreich angegriffen. Volt Typhoon hat auch umfangreiche Aufklärungsangriffe auf Stromübertragungs- und -verteilungsunternehmen in afrikanischen Ländern durchgeführt. Die Absicht dieser Angriffe in Afrika ist nicht bekannt, obwohl Experten vermuten, dass die Bedrohungsakteure nach Daten aus geographischen Informationssystemen (GIS) suchten, die Volt Typhoon dabei helfen würden, Cluster von industriellen Steuerungssystemen (ICS) und anderen Geräten des Internet der Dinge (IoT) zu infiltrieren. Möglicherweise besteht auch ein Zusammenhang mit Chinas Initiative „Digitale Seidenstraße“, die darauf abzielt, den Empfängerländern Infrastrukturhilfe und andere Hilfe anzubieten. Die Volksrepublik China hat strategische Interessen in der ganzen Welt.

 

China's strategische Investitionen im 21. Jahrhundert

 

China bestreitet routinemäßig jegliche Beteiligung an staatlich unterstützten Hackerangriffen und hat den USA versprochen, sich nicht in die Wahlen 2024 einzumischen. Trotz dieser Dementis haben Strafverfolgungsbehörden auf der ganzen Welt jahrzehntelang Beweise für die von der VR China geförderte Cyberspionage gesammelt. Christopher Wray, Direktor des Federal Bureau of Investigation (FBI), glaubt, dass „Chinas Cyber-Agenten allen FBI-Agenten um mindestens 50 zu 1 überlegen sind“.

KV Botnet

Volt Typhoon nutzt das KV Botnet, ein verdecktes Netzwerk, um bösartigen Datenverkehr durch Vermischen mit dem normalen Internetverkehr zu verschleiern. Das Botnet verwendet Router und VPN-Geräte, die das Ende ihrer Lebensdauer erreicht haben und keine Sicherheitsupdates mehr vom Hersteller erhalten. Das US-Justizministerium (Department of Justice, DoJ) hat kürzlich bekannt gegeben, dass das Botnet erfolgreich gestoppt wurde; Volt Typhoon versucht allerdings, dieses neu aufzubauen.

Volt Typhoon leitet seinen Datenverkehr über zwei separate KV-Botnet-Cluster, bekannt als KV und JDY. In dieser Tabelle finden Sie einen Überblick über den Zweck dieser Cluster und die wichtigsten Unterschiede zwischen den Clustern:

 

Aspekt

KV-Cluster

JDY-Cluster

Hauptzweck

Proxy für manuelle Vorgänge gegen hochkarätige Ziele

Scan- und Aufklärungstätigkeiten

Komplexität der Arbeit

Anspruchsvolle, zielgerichtete Bemühungen

Weniger anspruchsvolle, automatisierte Aufgaben

Art der infizierten Geräte

Router für kleine Büros/Heimbüros und bestimmte IP-Kameras

Cisco RV320- und RV325-Router

Verwendung von infizierten Knoten

Effektiver Einsatz für manuelle verdeckte Operationen

Effektiv für automatisiertes Scannen und Aufklärung

Risikomanagement

Geringeres Entdeckungsrisiko bei manuellen Vorgängen. JDY-Aktivitäten mit höherem Risiko gefährdendie KV-Cluster-Aktivitäten nicht.

Höheres Entdeckungsrisiko durch  automatisierte, weit verbreitete Aktivitäten

Die technische Aufschlüsselung des KV Botnet finden Sie hier.

Fazit

Volt Typhoon ist ein raffinierter, staatlich unterstützter Bedrohungsakteur, der seinen Weg in jede Öffnung eines Systems findet. Sie verfügen über die Fähigkeiten und Ressourcen, um jeden Schwachpunkt anzugreifen, den sie finden. Eine gute Verteidigung gegen sie besteht darin sicherzustellen, dass sie keine Schwachpunkte finden. Die Direktorin der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA), Jen Easterly, erklärte kürzlich, dass die USA es den Bedrohungsakteuren aus der VR China leicht gemacht haben, Angriffe durchzuführen. „Die Wahrheit ist, dass die Volksrepublik China in vielen Fällen bekannte Produktfehler ausnutzt.“ Das KV-Botnet ist das perfekte Beispiel dafür, wie Bedrohungsakteure vernachlässigte Sicherheitsrisiken ausnutzen.

Der Schutz Ihrer Systeme vor raffinierten Bedrohungsakteuren wie Volt Typhoon erfordert einen vielschichtigen Cybesecurity-Ansatz, der das gesamte System schützt, einschließlich externer Mitarbeiter und Edge-Geräten:

1. Starke Zugangskontrollen und Authentifizierungsmaßnahmen: Setzen Sie Richtlinien durch, die eine Multi-Faktor-Authentifizierung (MFA) und eine gute Passworthygiene verlangen. Verwenden Sie das Prinzip der geringsten Privilegien, um sicherzustellen, dass Benutzer nur die Zugriffsrechte erhalten, die sie für ihre Arbeit benötigen.  

2. Regelmäßige Software- und System-Updates: Aktualisieren Sie regelmäßig alle Software, Betriebssysteme und Firmware, wenn möglich mit automatischen Patch-Management-Tools. Führen Sie regelmäßige Scans durch, um etwaige Schwachstellen in der Umgebung zu identifizieren.

3. Erweiterte Sicherheitsmaßnahmen: Implementieren Sie Cybersecurity-Lösungen, die Ihre E-Mails, Netzwerke, Anwendungen und Daten schützen. Barracuda Email Protection und Barracuda SecureEdge schützen Ihre Systeme, sichern Ihre Microsoft 365-Daten und bieten eine Schulung zur Stärkung des Risikobewusstseins an, um Mitarbeitenden dabei zu helfen, Phishing-Angriffe und andere Betrugsversuche zu erkennen.  

Kontinuierliche Überwachung, regelmäßige Aktualisierungen Ihrer Sicherheitsprotokolle und Informationen über die neuesten Bedrohungen sind entscheidend für die Aufrechterhaltung einer soliden Sicherheit.

 

Die Barracuda Cybersecurity-Plattform

Nur Barracuda bietet einen vielschichtigen Schutz, der alle wichtigen Bedrohungsvektoren abdeckt, Ihre Daten schützt und die Reaktion auf Vorfälle automatisiert. Über 200.000 Kunden weltweit vertrauen Barracuda den Schutz ihrer E-Mails, Netzwerke, Anwendungen und Daten an.

 

ERKUNDEN SIE DIE PLATTFORM

 

 

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Bulk remediation for MSPs: Protect every customer with a single action
Bulk remediation for MSPs: Protect every customer with a single action
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
Threat Spotlight: Entschlüsselung eines schleichenden neuen Phishing-Kits, das Microsoft 365 ins Visier nimmt
 BarracudaONE supercharges MSP operations with new capabilities
BarracudaONE supercharges MSP operations with new capabilities
 Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Jenseits von MITM: Die zunehmende Gefahr von Adversary-in-the-Middle-Angriffen
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.