Cybersicherheitswarnung – PRC-Staatliche Akteure greifen US-Kritische Infrastrukturen an

Volt Typhoon im Fokus: In einer gemeinsamen Warnung des Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und des Federal Bureau of Investigation (FBI) wird aufgedeckt, dass staatlich geförderte Cyberakteure der Volksrepublik (PRC) kritische Infrastrukturen in den USA angreifen.

Die Gruppe, bekannt als „Volt Typhoon“, hat IT-Umgebungen mehrerer kritischer Infrastruktureinrichtungen kompromittiert – hauptsächlich in den Bereichen Kommunikation, Energie, Transportsysteme sowie Wasser- und Abwassersysteme.

Was wurde entdeckt?

Die Angreifer nutzen „Living off the Land“ (LOTL)-Techniken und starke operationale Sicherheit, um langfristig unentdeckt zu bleiben. In einigen Fällen wurde beobachtet, dass Volt Typhoon-Akteure Zugang zu einigen Opfer-IT-Umgebungen für mindestens fünf Jahre aufrechterhalten haben. Ihr Fokus liegt auf der Vorpositionierung in IT-Netzwerken, um laterale Bewegungen zu OT-Anlagen zu ermöglichen und Funktionen zu stören.

Wie agiert Volt Typhoon?

Die Akteure führen umfangreiche Voraufklärungen durch, passen ihre Taktiken, Techniken und Verfahren (TTPs) an die Umgebung des Opfers an und widmen sich kontinuierlich der Aufrechterhaltung von Persistenz und dem Verständnis der Zielumgebung. Zu den beobachteten TTPs gehören u.a. Aufklärung, Ressourcenentwicklung, anfänglicher Zugriff, Ausführung, Persistenz, Verteidigungsevasion, Zugriff auf Anmeldeinformationen, seitliche Bewegung, Sammlung und Exfiltration.

Empfehlungen zur Erkennung und Jagd

Die Autoritäten empfehlen, Best Practices zur Erkennung von LOTL-Aktivitäten anzuwenden, Anwendungssicherheits- und Systemereignisprotokolle zu überprüfen, OT-Systemprotokolle zu überwachen und zu prüfen, Logins auf unmögliche Reisen zu überprüfen sowie Standardverzeichnisse auf ungewöhnliche Dateien zu überprüfen.

Sofortige Gegenmaßnahmen

Organisationen sollten ihre Netzwerke vom Internet trennen, Anmeldeinformationen für privilegierte und nicht privilegierte Konten zurücksetzen, Netzwerkgerätekonfigurationen überprüfen, den Vorfall melden und Best Practices für Identitäts- und Zugriffskontrolle in Cloud- oder Hybridumgebungen anwenden.

Schlussfolgerungen

Diese Warnung betont die Wichtigkeit einer umfassenden Cybersicherheitsstrategie und einer kontinuierlichen Überprüfung und Aktualisierung von Sicherheitsmaßnahmen. Die Kompromittierung kritischer Infrastrukturen stellt ein erhebliches Risiko dar, und es ist entscheidend, dass Organisationen vorbereitet sind, auf solche Bedrohungen zu reagieren. Eine enge Zusammenarbeit mit Sicherheitsbehörden und die Einhaltung empfohlener Sicherheitspraktiken sind essentiell, um sich vor derartigen Angriffen zu schützen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.