{"id":291221,"date":"2024-02-01T08:40:39","date_gmt":"2024-02-01T07:40:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291221"},"modified":"2024-02-01T12:25:14","modified_gmt":"2024-02-01T11:25:14","slug":"volt-typhoon-botnet-durch-usa-fbi-co-abgeschaltet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/01\/volt-typhoon-botnet-durch-usa-fbi-co-abgeschaltet\/","title":{"rendered":"Volt Typhoon-Botnet durch USA (FBI & Co.) abgeschaltet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die US-Regierung hat gerade bekannt gegeben, dass das Spionage-Netzwerk von Volt Typhoon durch Remote-Befehle abgeschaltet wurde. Dieses, China zugeschriebene, Netzwerk infiltriert Router und zielt darauf ab, kritische Infrastruktur im Fall der F\u00e4lle abschalten zu k\u00f6nnen.<\/p>\n

<\/p>\n

Das Volt Typhoon-Botnetz<\/h2>\n

\"\"Die Information wurde zum 31. Januar 2024 durch die US-Regierung ver\u00f6ffentlicht – nachfolgender Tweet<\/a> weist auf diesen Sachverhalt hin. Der im Tweet erhobene Vorwurf: China zielt mit der Volt Typhoon-Malware auf kritische Infrastruktur in den USA und weiteren Verb\u00fcndeten ab. Nach Angaben von US-Regierungsvertretern (siehe Wallstreet Journal<\/a>, WSJ) bereitet sich Peking darauf vor, bei k\u00fcnftigen Konflikten, auch \u00fcber Taiwan, potenziell sch\u00e4dliche Cyberangriffe zu starten.<\/p>\n

<\/a><\/p>\n

Es hei\u00dft, dass Volt Typhoon-Botnetz habe hunderte von Routern\u00a0 infiziert und gekapert. Dann wurde das Botnetz dazu benutzt, heimlich kritische Infrastrukturnetze der USA und seiner Verb\u00fcndeten anzugreifen. Die bisher entdeckten Aktivit\u00e4ten des Botnetzwerks, die China zugeschrieben werden, seien \"wahrscheinlich nur die Spitze des Eisbergs\", hei\u00dft es.<\/p>\n

John Hultquist, Chief Analyst, Mandiant Intelligence – Google Cloud, schrieb mir in einer Mitteilung:<\/p>\n

\"Dieser Akteur betreibt nicht, wie in den USA \u00fcblich, das stille Sammeln von Informationen und den Diebstahl von Geheimnissen. Stattdessen sondiert er sensible kritische Infrastrukturen, um \u2013 falls und wenn der Befehl dazu kommt \u2013 entscheidende Dienste zu st\u00f6ren.\"<\/p><\/blockquote>\n

Sandra Joyce, VP of Intelligence bei Mandiant, l\u00e4sst sich mit den folgenden Aussagen zitieren:<\/p>\n

\"Volt Typhoon konzentriert sich darauf, kritische Infrastrukturen, wie beispielsweise Wasseraufbereitungsanlagen, Stromnetze usw. ins Visier zu nehmen. Indem der Akteur unter dem Radar fliegt, arbeitet er hart daran, Spuren zu reduzieren, mit denen wir ihre Aktivit\u00e4ten \u00fcber die Netzwerke verfolgen k\u00f6nnen.<\/p>\n

Die Gruppierung nutzt kompromittierte Systeme, um unbemerkt Zugriff auf normale Netzwerkaktivit\u00e4ten zu erhalten und \u00e4ndert dabei st\u00e4ndig die Quelle ihrer Aktivit\u00e4ten. Sie vermeidet die Verwendung von Malware, da diese einen Alarm ausl\u00f6sen und uns etwas Handfestes liefern k\u00f6nnte.<\/p>\n

Derartige Aktivit\u00e4ten zu verfolgen, ist \u00e4u\u00dferst schwierig, aber nicht unm\u00f6glich. Mandiant und Google konzentrieren sich darauf, dem Akteur einen Schritt voraus zu sein und arbeiten dabei eng mit Kunden und Partnern zusammen.<\/p>\n

Es ist nicht das erste Mal, dass kritische US-Infrastrukturen auf diese Weise angegriffen werden. Bei mehreren Gelegenheiten wurden russische Geheimdienstakteure inmitten \u00e4hnlicher Operationen entdeckt, die schlie\u00dflich aufgedeckt wurden. Derartige Operationen sind gef\u00e4hrlich und anspruchsvoll, aber nicht unm\u00f6glich.<\/p>\n

Der Zweck von Volt Typhoon war es, sich unbemerkt f\u00fcr einen Eventualfall vorzubereiten. Gl\u00fccklicherweise ist Volt Typhoon nicht unbemerkt geblieben, und auch wenn die Jagd eine Herausforderung ist, adaptieren wir uns, um die Sammlung von Informationen zu verbessern und [Aktionen] diesen[s] Akteur[s] zu vereiteln. Wir sehen ihre Schritte voraus, wir wissen, wie wir sie identifizieren k\u00f6nnen, und vor allem wissen wir, wie wir die Netzwerke, auf die sie abzielen, h\u00e4rten.\"<\/p><\/blockquote>\n

Das Wallstreet Journal schreibt, dass hochrangige Vertreter der US-Beh\u00f6rde die Operation in ungew\u00f6hnlich unverbl\u00fcmter Form als Teil einer sich entwickelnden und zunehmend besorgniserregenden Kampagne Pekings, um in US-Computernetzwerken Fu\u00df zu fassen, die f\u00fcr alles von sicherem Trinkwasser bis hin zum Flugverkehr verantwortlich sind, so dass es in einem zuk\u00fcnftigen Konflikt, auch \u00fcber Taiwan, im Handumdrehen sch\u00e4dliche Cyberangriffe starten k\u00f6nnte.<\/p>\n

Botnetz auf Routern abgeschaltet<\/h2>\n

Das US-Justizministerium und das FBI wurden im Dezember 2023 aktiv, nachdem sie die gerichtliche Genehmigung zur Zerschlagung eines Botnetzes oder Netzwerks gehackter Ger\u00e4te erhalten hatten. Infizierte Router wurden von der Malware-Infektion bereinigt, indem die Verbindung zu den Malware-Kontrollservern unterbrochen und dann eine eine vorbereitete Software auf die Ger\u00e4te installiert wurde. Diese bereinigte die Infektion und verhindert eine erneute Infektion.<\/p>\n

Die Ger\u00e4tebesitzer wurden nicht im Voraus \u00fcber die Operation des FBI an den Routern informiert, da die Beh\u00f6rde das Problem dringend angehen wollte, geben FBI-Vertreter an. Das Volt Typhoon-Botnetz bestand aus infizierten Routern f\u00fcr kleine B\u00fcros und Heimb\u00fcros (SOHO). Beim Gro\u00dfteil dieser Ger\u00e4te handelt es sich um Router von Cisco- und Netgear, die ihr End-of-Life erreicht hatten und keine Sicherheitsupdates der Firmware mehr erhielten (siehe auch den Kommentar weiter unten).<\/p>\n

Die infizierten Router waren nicht notwendigerweise mit den kritischen Infrastrukturnetzwerken verbunden, auf die es die Hacker abgesehen hatten, teilten Vertreter der US-Regierung mit. Vielmehr habe es sich um Knotenpunkte gehandelt, die dazu dienten, ihre b\u00f6sartigen Aktivit\u00e4ten vor einer einfachen Entdeckung zu verbergen.<\/p>\n

Mehr Informationen finden sich beim WSJ in diesem Artikel<\/a>. Bleeping Computer schreibt hier<\/a>, dass die US-CISA die Hersteller auffordert, mehr gegen Volt-Typhoon-Angriffe sichern m\u00fcsse.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die US-Regierung hat gerade bekannt gegeben, dass das Spionage-Netzwerk von Volt Typhoon durch Remote-Befehle abgeschaltet wurde. Dieses, China zugeschriebene, Netzwerk infiltriert Router und zielt darauf ab, kritische Infrastruktur im Fall der F\u00e4lle abschalten zu k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270],"tags":[451,823],"class_list":["post-291221","post","type-post","status-publish","format-standard","hentry","category-office","tag-datenschutz","tag-office-365"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291221"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291221\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}