Volt Typhoon im Fokus: In einer gemeinsamen Warnung des Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und des Federal Bureau of Investigation (FBI) wird aufgedeckt, dass staatlich geförderte Cyberakteure der Volksrepublik China (PRC) kritische Infrastrukturen in den USA angreifen.
Die Gruppe, bekannt als „Volt Typhoon“, hat IT-Umgebungen mehrerer kritischer Infrastruktureinrichtungen kompromittiert – hauptsächlich in den Bereichen Kommunikation, Energie, Transportsysteme sowie Wasser- und Abwassersysteme.
Was wurde entdeckt?
Die Angreifer nutzen „Living off the Land“ (LOTL)-Techniken und starke operationale Sicherheit, um langfristig unentdeckt zu bleiben. In einigen Fällen wurde beobachtet, dass Volt Typhoon-Akteure Zugang zu einigen Opfer-IT-Umgebungen für mindestens fünf Jahre aufrechterhalten haben. Ihr Fokus liegt auf der Vorpositionierung in IT-Netzwerken, um laterale Bewegungen zu OT-Anlagen zu ermöglichen und Funktionen zu stören.
Wie agiert Volt Typhoon?
Die Akteure führen umfangreiche Voraufklärungen durch, passen ihre Taktiken, Techniken und Verfahren (TTPs) an die Umgebung des Opfers an und widmen sich kontinuierlich der Aufrechterhaltung von Persistenz und dem Verständnis der Zielumgebung. Zu den beobachteten TTPs gehören u.a. Aufklärung, Ressourcenentwicklung, anfänglicher Zugriff, Ausführung, Persistenz, Verteidigungsevasion, Zugriff auf Anmeldeinformationen, seitliche Bewegung, Sammlung und Exfiltration.
Empfehlungen zur Erkennung und Jagd
Die Autoritäten empfehlen, Best Practices zur Erkennung von LOTL-Aktivitäten anzuwenden, Anwendungssicherheits- und Systemereignisprotokolle zu überprüfen, OT-Systemprotokolle zu überwachen und zu prüfen, Logins auf unmögliche Reisen zu überprüfen sowie Standardverzeichnisse auf ungewöhnliche Dateien zu überprüfen.
Sofortige Gegenmaßnahmen
Organisationen sollten ihre Netzwerke vom Internet trennen, Anmeldeinformationen für privilegierte und nicht privilegierte Konten zurücksetzen, Netzwerkgerätekonfigurationen überprüfen, den Vorfall melden und Best Practices für Identitäts- und Zugriffskontrolle in Cloud- oder Hybridumgebungen anwenden.
Schlussfolgerungen
Diese Warnung betont die Wichtigkeit einer umfassenden Cybersicherheitsstrategie und einer kontinuierlichen Überprüfung und Aktualisierung von Sicherheitsmaßnahmen. Die Kompromittierung kritischer Infrastrukturen stellt ein erhebliches Risiko dar, und es ist entscheidend, dass Organisationen vorbereitet sind, auf solche Bedrohungen zu reagieren. Eine enge Zusammenarbeit mit Sicherheitsbehörden und die Einhaltung empfohlener Sicherheitspraktiken sind essentiell, um sich vor derartigen Angriffen zu schützen.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.