{"id":315027,"date":"2025-08-28T08:45:06","date_gmt":"2025-08-28T06:45:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315027"},"modified":"2025-09-04T21:08:16","modified_gmt":"2025-09-04T19:08:16","slug":"chinesische-hackergruppe-salt-typhoon-greift-weltweit-telekom-unternehmen-an","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/28\/chinesische-hackergruppe-salt-typhoon-greift-weltweit-telekom-unternehmen-an\/","title":{"rendered":"Chinesische Hackergruppe Salt Typhoon greift weltweit (Telekommunikations-)Unternehmen an"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/08\/31\/chinese-hacker-group-salt-typhoon-attacks-telecommunications-companies-worldwide\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die US National Security Agency (NSA) und andere US-amerikanische und ausl\u00e4ndische Organisationen (z.B. das BSI) haben eine <a href=\"https:\/\/www.nsa.gov\/Press-Room\/Press-Releases-Statements\/Press-Release-View\/Article\/4287371\/nsa-and-others-provide-guidance-to-counter-china-state-sponsored-actors-targeti\/\" target=\"_blank\" rel=\"noopener\">Sicherheitswarnung herausgegeben<\/a>. Cybergruppen wie Salt Typhoon, die von der chinesischen Regierung unterst\u00fctzt werden, greifen weltweit Netzwerke in den Bereichen Telekommunikation, Regierung, Transport, Beherbergung und milit\u00e4rische Infrastruktur an.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/830742bfe28c4c7b96b411a053c627b3\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist gelungen, die Akteure hinter fortgeschrittenen, hartn\u00e4ckigen Bedrohungen (Advanced Persistent Threats, APT) aufzudecken. Die Akteure werden von der chinesischen Regierung unterst\u00fctzt, und nehmen weltweit Netzwerke in den Bereichen Telekommunikation, Regierung, Transport, Beherbergung und milit\u00e4rische Infrastruktur ins Visier.<\/p>\n<p>Diese Aktivit\u00e4ten stehen laut den Warnungen in Verbindung mit mehreren in China ans\u00e4ssigen Unternehmen \u2013 darunter Sichuan Juxinhe Network Technology Co. Ltd., Beijing Huanyu Tianqiong Information Technology Co., Ltd. und Sichuan Zhixin Ruijie Network Technology Co., Ltd. Diese Unternehmen stellen Cyberprodukte und entsprechende Dienstleistungen f\u00fcr das chinesische Ministerium f\u00fcr Staatssicherheit und die Volksbefreiungsarmee bereit.<\/p>\n<p>Bei der Gruppe, die im Visier ist, handelt es sich um Salt Typhoon, die hier im Blog in verschiedenen Beitr\u00e4gen mit Angriffen auf Netzwerke in Verbindung gebracht wurde (siehe Linkliste am Beitragsende).<\/p>\n<h2>Umfangreiche Information der CISA<\/h2>\n<p>Die US-Sicherheitsbeh\u00f6rde CISA weist in folgendem Tweet (und auf <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa25-239a\" target=\"_blank\" rel=\"noopener\">dieser Seite<\/a>) auf die betreffende Warnung <a href=\"https:\/\/media.defense.gov\/2025\/Aug\/22\/2003786665\/-1\/-1\/0\/CSA_COUNTERING_CHINA_STATE_ACTORS_COMPROMISE_OF_NETWORKS.PDF\" target=\"_blank\" rel=\"noopener\">Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System<\/a> (PDF mit 37 Seiten) hin.<\/p>\n<p><a href=\"https:\/\/media.defense.gov\/2025\/Aug\/22\/2003786665\/-1\/-1\/0\/CSA_COUNTERING_CHINA_STATE_ACTORS_COMPROMISE_OF_NETWORKS.PDF\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone\" title=\"Salt Typhoon hackt Telekom-Anbieter\" src=\"https:\/\/i.postimg.cc\/SR5RM830\/image.png\" alt=\"Salt Typhoon hackt Telekom-Anbieter\" width=\"594\" height=\"527\" \/><\/a><\/p>\n<p>Das umfangreiche PDF-Dokument enth\u00e4lt auch eine Liste geeigneter Ma\u00dfnahmen zur Risikominderung.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Das oben verlinkte <a href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa25-239a\" target=\"_blank\" rel=\"noopener\">CISA advisory<\/a> gibt an, dass u.a. folgende Schwachstellen ausgenutzt werden:<\/p>\n<ul>\n<li><a class=\"ext\" title=\"CVE-2024-21887, \" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-21887\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">CVE-2024-21887<\/a>: \u00a0Ivanti Connect Secure and Ivanti Policy Secure web-component command injection vulnerability, commonly chained after CVE-2023-46805 (authentication bypass)<\/li>\n<li><a class=\"ext\" title=\"CVE-2024-3400, \" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2024-3400\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">CVE-2024-3400<\/a>: Palo Alto Networks PAN-OS GlobalProtect arbitrary file creation leading to OS command injection. The CVE allows for unauthenticated remote code execution (RCE) on firewalls when GlobalProtect is enabled on specific versions\/configurations.<\/li>\n<li><a class=\"ext\" title=\"CVE-2023-20273, \" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2023-20273\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">CVE-2023-20273<\/a>: Cisco Internetworking Operating System (IOS) XE software web management user interface post-authentication command injection\/privilege escalation (commonly chained with CVE-2023-20198 for initial access to achieve code execution as root) [<a class=\"ext\" title=\"T1068, \" href=\"https:\/\/attack.mitre.org\/versions\/v17\/techniques\/T1068\/\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">T1068<\/a>]<\/li>\n<li><a class=\"ext\" title=\"CVE-2023-20198, \" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2023-20198\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">CVE-2023-20198<\/a>: Cisco IOS XE web user interface authentication bypass vulnerability<\/li>\n<li><a class=\"ext\" title=\" CVE-2018-0171 \" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2018-0171\" target=\"_blank\" rel=\"noopener\" data-extlink=\"\">CVE-2018-0171<\/a>: Cisco IOS and IOS XE smart install remote code execution vulnerability<\/li>\n<\/ul>\n<p>Mithilfe dieser Schwachstellen verschaffen sich die Angreifer Zugriff auf Routing- und Netzwerkger\u00e4te, wodurch sie Zugriffskontrolllisten \u00e4ndern, SSH auf nicht standardm\u00e4\u00dfigen Ports aktivieren, GRE\/IPsec-Tunnel erstellen und Cisco Guest Shell-Container ausnutzen k\u00f6nnen, um ihre Pr\u00e4senz aufrechtzuerhalten.<\/p>\n<h2>Warnung des BSI<\/h2>\n<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) ist, mit BND und weiteren deutschen Sicherheitsbeh\u00f6rden, mit im Verbund und hat zum 27. August 2025 ebenfalls eine Warnung (<a href=\"https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Alle-Meldungen-News\/Meldungen\/Sicherheitshinweis_SALT-TYPHOON_250527.html\" target=\"_blank\" rel=\"noopener\">Gemeinsamer Sicherheitshinweis: Angriffe auf Telekommunikation durch SALT TYPHOON<\/a>) ver\u00f6ffentlicht.<\/p>\n<p>Laut BSI greift SALT TYPHOON prim\u00e4r Ziele im Bereich der Telekommunikation an, wobei der Fokus auf Telekommunikationsinfrastruktur liegt. Bei SALT TYPHOON handelt es sich um einen komplexen APT-Akteur, welcher auch unter den Aliasnamen GhostEmperor und FamousSparrow bekannt ist und weltweit Aktivit\u00e4ten entfaltet.<\/p>\n<p>Dem BSI sind weiterhin keine erfolgreichen Aktivit\u00e4ten des Akteurs in Deutschland bekannt. Vorsorglich weist das BSI darauf hin, dass die im (obigen) <a href=\"https:\/\/media.defense.gov\/2025\/Aug\/22\/2003786665\/-1\/-1\/0\/CSA_COUNTERING_CHINA_STATE_ACTORS_COMPROMISE_OF_NETWORKS.PDF\" target=\"_blank\" rel=\"noopener\">CISA-Sicherheitshinweis<\/a> enthaltenen Empfehlungen aber eine wichtige pr\u00e4ventive Wirkung entfalten k\u00f6nnen. Der CISA-Sicherheitshinweis beschreibt ma\u00dfgeblich die technische Vorgehensweise des Akteurs. Dabei werden f\u00fcr jede Stufe der sogenannten Killchain &#8211; von der initialen Kompromittierung bis zur Exfiltration von Daten &#8211; im Hinblick auf die Taktiken, Techniken und Prozeduren des Angreifers Hinweise geliefert.<\/p>\n<p>Die im Anhang des Hinweises aufgef\u00fchrten Detektions- und Mitigationsma\u00dfnahmen dienen der Sicherung von Netzwerken und der Detektion etwaiger bereits stattgefundener Angriffe.<\/p>\n<h2>Mandiant Hinweise zu den Angriffen<\/h2>\n<p>Der bei Google angesiedelte Sicherheitsanbieter Mandiant hat mir gestern abend eine Stellungnahmen mit eigenen Erkenntnisse zugesandt. Demnach war\u00a0Mandiant in die langwierige und herausfordernde Operation eingebunden, um diesen Akteur aus den globalen Telekommunikationssystemen zu dr\u00e4ngen.<\/p>\n<p>Zwar gebe es viele chinesische Cyber-Spionageakteure, die regelm\u00e4\u00dfig den Sektor Telekommunikation ins Visier nehmen. Doch die Vertrautheit dieses Akteurs (Salt Typhoon) mit Telekommunikationssystemen verschafft ihm, laut Mandiant, einen einzigartigen Vorteil, insbesondere wenn es darum geht, der Entdeckung zu entgehen.<\/p>\n<p>Viele der besonders erfolgreichen chinesischen Cyber-Spionageakteure, denen Sicherheitsforscher von Mandiant bei Hacks begegnen, verf\u00fcgen \u00fcber tiefgehendes Fachwissen in den Technologien, die ihre Ziele nutzen. Das verschafft den Angreifern einen klaren Vorteil.<\/p>\n<p>Mandiant hat noch einen interessanten Aspekt beigesteuert:\u00a0Ein \u00d6kosystem aus Auftragnehmern, Akademikern und anderen Unterst\u00fctzern aus China bildet das Herzst\u00fcck der chinesischen Cyber-Spionage. Auftragnehmer werden eingesetzt, um Werkzeuge und wertvolle Exploits zu entwickeln sowie die schmutzige Arbeit von Eindringungsoperationen durchzuf\u00fchren. Dies war entscheidend f\u00fcr die schnelle Weiterentwicklung dieser Operationen und ihre Ausweitung auf ein beispielloses Ausma\u00df.<\/p>\n<p>\"Neben der Telekommunikation k\u00f6nnte das berichtete Vorgehen gegen den Gastgewerbe- und Transportsektor dazu genutzt werden, Einzelpersonen engmaschig zu \u00fcberwachen. Informationen aus diesen Branchen k\u00f6nnen verwendet werden, um ein vollst\u00e4ndiges Bild davon zu erstellen, mit wem jemand spricht, wo er sich aufh\u00e4lt und wohin er unterwegs ist.\" sagt John Hultquist, Chefanalyst der Google Threat Intelligence Group.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/10\/07\/verdacht-us-breitbandanbieter-durch-chinesische-hacker-infiltriert\/\" rel=\"bookmark\">Verdacht: US-Breitbandanbieter durch chinesische Hacker infiltriert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/02\/21\/sicherheits-news-black-basta-ransomware-chats-geleakt-salt-typhoon-angriffe-auf-us-provider\/\" rel=\"bookmark\">Sicherheits-News: Black Basta Ransomware Chats geleakt; Salt Typhoon-Angriffe auf US-Provider<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/11\/30\/erkenntnisse-von-t-mobile-usa-ueber-chinesische-hackerangriffe-auf-das-netz\/\" rel=\"bookmark\">Erkenntnisse von T-Mobile (USA) \u00fcber (chinesische) Hackerangriffe auf das Netz<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/11\/19\/sicherheitsinfos-cisa-erweitert-schwachstellenliste-palo-alto-networks-progress-kemp-und-mehr\/\" rel=\"bookmark\">Sicherheitsinfos: CISA erweitert Schwachstellenliste (Palo Alto Networks, Progress Kemp) und mehr<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2025\/07\/22\/patch-fuer-sharepoint-server-2016-china-hinter-angriffen-ca-100-organisationen-kompromittiert\/\" rel=\"bookmark\">Patch f\u00fcr Sharepoint Server 2016; China hinter Angriffen, ca. 400 Organisationen kompromittiert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/23\/microsoft-schraenkt-chinas-fruehzeitigen-zugriff-auf-schwachstellen-ein\/\" rel=\"bookmark\">Microsoft schr\u00e4nkt Chinas fr\u00fchzeitigen Zugriff auf Schwachstellen ein<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/16\/krass-microsoft-laesst-die-cloud-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure-warten\/\" rel=\"bookmark\">Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/19\/microsoft-beendet-die-cloud-wartung-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure\/\" rel=\"bookmark\">Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/05\/neue-insights-zum-sharepoint-gate-mitarbeiter-aus-china-fuer-die-wartung\/\" rel=\"bookmark\">Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die US National Security Agency (NSA) und andere US-amerikanische und ausl\u00e4ndische Organisationen (z.B. das BSI) haben eine Sicherheitswarnung herausgegeben. Cybergruppen wie Salt Typhoon, die von der chinesischen Regierung unterst\u00fctzt werden, greifen weltweit Netzwerke in den Bereichen Telekommunikation, Regierung, Transport, Beherbergung &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/08\/28\/chinesische-hackergruppe-salt-typhoon-greift-weltweit-telekom-unternehmen-an\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-315027","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315027","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315027"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315027\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315027"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315027"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315027"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}