USA warnen vor „dauerhaft veränderter“ Cyberbedrohungslandschaft

Kürzlich aufgedeckte Aktivitäten der von China unterstützten Hackergruppe Volt Typhoon haben US-Behörden zu Warnungen veranlasst, dass sich die Landschaft der Cyberbedrohungen dauerhaft verändert hat. Insbesondere signalisiert diese Aktivität einen grundlegenden Wandel in den Zielen und Methoden staatlich geförderter Cyberoperationen.

Eine neuartige Form der Cyberbedrohung

Viele Jahre lang beschränkten sich die Hauptziele staatlich geförderter Hackeraktivitäten meist auf strategische und industrielle Spionage. Unabhängig davon, ob es sich bei den Bedrohungsakteuren um offizielle Regierungsstellen oder unabhängige, von nationalen Regierungen gesponserte Banden handelte, zielten ihre Bemühungen in erster Linie darauf ab, Systeme zu infiltrieren, um wertvolle Daten zu stehlen. 

In einigen Fällen handelte es sich um Regierungssysteme, die strategische Planungen und andere geheime Daten enthielten. In anderen Fällen war es das Ziel, Geschäftsgeheimnisse von Unternehmen zu finden und zu exfiltrieren, um wirtschaftliche Wettbewerbsvorteile zu erlangen. Direkte Sabotage, wie die Datenschutzverletzung bei Sony Pictures 2014, die angeblich von nordkoreanischen Bedrohungsakteuren ausging, ist offenbar selten das Hauptziel; und selbst diese ist nicht gegen irgendeine Form von kritischer Infrastruktur gerichtet. 

Bei Konflikten wird auch häufiger Technologie zur Cyber-Kriegsführung eingesetzt, wie z. B. der russische Angriff auf ukrainische Ziele 2017 (WannaCry, NotPetya). Aber in diesen Fällen war das Ziel in erster Linie taktischer Natur: eine sofortige Unterbrechung der gegnerischen Kampfkraft. 

Doch wie meine Kollegin Christine Barry in einem aktuellen Artikel erklärt, ist die Aktivität von Volt Typhoon grundlegend anders. Wie in einem von der US-amerikanischen Agentur für Cybersecurity und Infrastruktursicherheit (CISA) im Februar 2024 herausgegebenen Cybersecurity-Beratungsbericht detailliert erläutert, geht es bei diesen Aktivitäten um das Eindringen in und den Erhalt des Zugangs zu kritischen Infrastruktursystemen, die keinen Spionagewert haben, aber im Falle eines verschärften Konflikts einen enormen strategischen Wert haben könnten.

Vorpositionierung von Assets

Das Ziel dieser Aktivität liegt klar auf der Hand. Die Volksrepublik China beabsichtigt für den Fall erhöhter Spannungen oder gar einer Krise, die zu einem bewaffneten Konflikt mit den USA führen könnte, bereits über Mittel zu verfügen, die Fähigkeiten der USA zu stören könnten, indem kritische Infrastrukturen und Industriekapazitäten sabotiert werden, Chaos und Panik gesät werden und ganz allgemein Unordnung gestiftet wird. Es besteht daher kein Zweifel, dass solche Aktivitäten überaus gefährliche Folgen für Gemeinschaften und alle Bürgerinnen und Bürger im ganzen Land haben könnten.

„Es ist ganz klar, dass die chinesischen Versuche, kritische Infrastrukturen zu kompromittieren, zum Teil darauf abzielen, sich so zu positionieren, diese kritischen Infrastrukturen im Falle eines Konflikts zu stören oder zu zerstören, um entweder die USA daran zu hindern, ihre Macht in Asien auszuweiten oder um ein gesellschaftliches Chaos in den USA zu verursachen, damit unsere Entscheidungsmöglichkeiten in einer Krise beeinflusst werden“, sagte Brandon Wales, Executive Director der Agentur für Cybersecurity und Infrastruktursicherheit (CISA) des Heimatschutzministeriums. „Das ist ein bedeutender Unterschied zu den chinesischen Cyberaktivitäten von vor sieben bis 10 Jahren, die sich hauptsächlich auf politische und wirtschaftliche Spionage konzentrierten.“ - The Washington Post

Eine neue Sicherheitslage für die Zukunft

Obwohl das DOJ zuversichtlich ist, dass die kürzlich entdeckten Versuche einzudringen erfolgreich behoben wurden, ist die klare Ansage von CISA und anderen, dass es sich dabei um die neue Normalität für die Cybersicherheitslandschaft handelt und stellt somit eine ständige Sorge für die US-Cyberverteidigungsbehörden dar, deren Sicherheitslage entsprechend angepasst werden muss. 

Da Volt Typhoon – und vermutlich auch künftige Kampagnen – eine Vielzahl von „living-off-the-land“-Techniken (LotL) einsetzt, um die traditionellen Indikatoren für eine Kompromittierung (IoC) zu minimieren, wird die kürzlich veröffentlichte CISA-Anleitung zur Erkennung solcher Methoden sowohl von staatlichen als auch privaten Organisationen für kritische Infrastrukturen zunehmend gefördert.

Der jüngste Bericht von CISA enthält auch eine Liste von Maßnahmen, die jeder unverzüglich ergreifen kann, um das Risiko von Volt-Typhoon-Aktivitäten zu mindern: 

1. Wenden Sie Patches für mit dem Internet verbundene Systeme an. Priorisieren Sie das Patchen von kritischen Schwachstellen in Geräten, die bekanntermaßen häufig von Volt Typhoon ausgenutzt werden. Hierzu zählen Router, VPNs und Firewalls mit bekannten oder Zero-Day-Schwachstellen.

2. Implementieren Sie phishingresistente MFA. Die Verwendung der Multi-Faktor-Authentifizierung für alle kritischen Systeme oder besser noch die Implementierung einer Zero-Trust-Architektur kann das Risiko von Eindringlingen, die gestohlene Zugangsdaten verwenden, drastisch reduzieren. 

3. Stellen Sie sicher, dass die Protokollierung für Anwendungs-, Zugriffs- und Sicherheitsprotokolle aktiviert ist, und speichern Sie die Protokolle in einem zentralen System.Bei den ersten Anzeichen eines Eindringens ist ein zentraler Speicher für Ereignisprotokolle entscheidend, um den Umfang und die Details des Problems zu ermitteln. 

4. Planen Sie das „End of Life“ für Technologie über den vom Hersteller unterstützten Lebenszyklus hinaus. Edge-Geräte und -Hardware bleiben in US-Systemen oft auch dann noch funktionsfähig, wenn sie das Ende ihrer Lebensdauer erreicht haben und nicht mehr mit Patches zur Schließung neu entdeckter Schwachstellen unterstützt werden. Volt Typhoon (und viele andere Bedrohungsakteure) scannen routinemäßig die Systeme potenzieller Opfer nach solchen Geräten.

Vorsichtiger Optimismus

Obwohl diese Veränderung im strategischen Umfeld der Cybersecurity Anlass zu ernster Besorgnis gibt, haben führende Vertreter der US-Regierung auf der jüngsten RSA-Konferenz und in Interviews mit The Record einige Gründe genannt, die uns optimistisch stimmen, dass wir eine neue, effektivere Sicherheitslage als Reaktion auf die neuen Bedrohungen schaffen: 

„Ich sehe es so, dass der Gegner kein Riese ist und wir nicht in der Embryonalstellung mit einem Abakus in der Ecke kauern“, sagte Marine Corps Major General Loran Mahlock, Leiter der Cyber National Mission Force des US Cyber Command, während einer Podiumsdiskussion diese Woche.

„Wir haben unsere Partner aus der Industrie, die bewusst und wirklich kreativ über die vorhandenen Bedrohungen nachdenken. Und ich denke, das ist wirklich unser asymmetrischer Vorteil und unsere Superpower.“

Eric Goldstein, stellvertretender Direktor für Cybersicherheit bei CISA, sagte, dass die Regierung, so sehr sie auch vor Volt Typhoon gewarnt hat, ihre Erfolge im Kampf gegen die mit China in Verbindung stehende Gruppe herausstellen will. „Ich denke, dass wir öffentlich über die Fortschritte sprechen werden, die wir bei der Härtung und Verbesserung der Widerstandsfähigkeit kritischer Infrastrukturen verzeichnen“, sagte er. — The Record, 9. Mai 2024