Die US-Regierung gab bekannt, das Botnetz des Bedrohungsakteurs Volt Typhoon unterbrochen zu haben, welches dieser für Angriffe auf kritische Infrastrukturen in den Vereinigten Staaten und anderen Ländern nutzte.
Eine im Dezember 2023 von der amerikanischen Justiz genehmigte Operation hat ein Botnetz aus Hunderten von in den USA ansässigen Routern für kleine Büros/Heimbüros (SOHO) zerstört, die von staatlich geförderten Hackern der Volksrepublik China (VRC) gekapert wurden.
Volt Typhoon attackierte kritische Infrastruktur
Die Hacker, die in der Privatwirtschaft als „Volt Typhoon“ bekannt sind, nutzten private SOHO-Router, die mit der Malware „KV Botnet“ infiziert waren, um den Ursprung weiterer Hacking-Aktivitäten gegen US-amerikanische und andere ausländische Opfer aus der Volksrepublik China zu verschleiern. Zu diesen weiteren Hacking-Aktivitäten gehörte eine Kampagne gegen kritische Infrastrukturorganisationen in den Vereinigten Staaten und anderen Orten in der Welt. Im Mai 2023 wurden diese Angriffe Gegenstand einer Mitteilung des FBI, der National Security Agency, der Cybersecurity and Infrastructure Security Agency (CISA) und ausländischer Partner. Dieselbe Aktivität war im Mai und Dezember 2023 Gegenstand von Empfehlungen für Partner aus dem Privatsektor sowie einer zusätzlichen „Secure by Design“-Warnung, die heute von CISA veröffentlicht wurde.
„Die Zerschlagung des KV-Botnetzes durch das FBI ist ein klares Signal dafür, dass das FBI entschlossene Maßnahmen ergreifen wird, um die kritische Infrastruktur unseres Landes vor Cyberangriffen zu schützen“, sagte der zuständige Spezialagent Douglas Williams vom FBI-Außenbüro in Houston. „Indem sichergestellt wird, dass Heim- und Kleinunternehmens-Router nach Ablauf ihrer Lebensdauer ausgetauscht werden, können normale Bürger sowohl ihre persönliche Cybersicherheit als auch die digitale Sicherheit der Vereinigten Staaten schützen.“
Kommentar von Google Mandiant
„Volt Typhoon konzentriert sich darauf, kritische Infrastrukturen (KTITIS), wie beispielsweise Wasseraufbereitungsanlagen, Stromnetze usw. ins Visier zu nehmen. Indem der Akteur unter dem Radar fliegt, arbeitet er hart daran, Spuren zu reduzieren, mit denen wir ihre Aktivitäten über die Netzwerke verfolgen können. Die Gruppierung nutzt kompromittierte Systeme, um unbemerkt Zugriff auf normale Netzwerkaktivitäten zu erhalten und ändert dabei ständig die Quelle ihrer Aktivitäten. Sie vermeidet die Verwendung von Malware, da diese einen Alarm auslösen und uns etwas Handfestes liefern könnte. Derartige Aktivitäten zu verfolgen, ist äußerst schwierig, aber nicht unmöglich. Mandiant und Google konzentrieren sich darauf, dem Akteur einen Schritt voraus zu sein und arbeiten dabei eng mit Kunden und Partnern zusammen.
Auch Russland sucht die Lücken
Es ist nicht das erste Mal, dass kritische US-Infrastrukturen auf diese Weise angegriffen werden. Bei mehreren Gelegenheiten wurden russische Geheimdienstakteure inmitten ähnlicher Operationen entdeckt, die schließlich aufgedeckt wurden. Derartige Operationen sind gefährlich und anspruchsvoll, aber nicht unmöglich.
Der Zweck von Volt Typhoon war es, sich unbemerkt für einen Eventualfall vorzubereiten. Glücklicherweise ist Volt Typhoon nicht unbemerkt geblieben, und auch wenn die Jagd eine Herausforderung ist, adaptieren wir uns, um die Sammlung von Informationen zu verbessern und diesen Akteur zu vereiteln. Wir sehen ihre Schritte voraus, wir wissen, wie wir sie identifizieren können, und vor allem wissen wir, wie wir die Netzwerke, auf die sie abzielen, härten.“ – Sandra Joyce, VP, Mandiant Intelligence – Google Cloud.
Mehr bei Justice.gov