Der stille Sturm: Der massive Cyberangriff auf die Telekommunikationsbranche Salt Typhoon

Dieser Blog beleuchtet die anhaltenden bösartigen Cyber-Aktivitäten, die von der mit der Volksrepublik China (VRC) verbundenen Cyber-Bedrohungsgruppe namens Salt Typhoon gegen Anbieter von Telekommunikationsinfrastrukturen. Jüngste Berichte deuten darauf hin, dass die Bedrohungsakteure von Salt Typhoon die Netzwerke großer globaler Telekommunikationsunternehmen kompromittiert haben und umfangreiche und bedeutende Cyberspionagekampagnen durchführen.

Als Reaktion darauf hat die Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit der National Security Agency (NSA), dem Federal Bureau of Investigation (FBI) und internationalen Partnern die Enhanced Visibility and Hardening Guidance for Communications Infrastructure herausgegeben, um Netzwerkingenieure und -verteidiger bei der Verbesserung der Sichtbarkeit und der Härtung von Praktiken zu unterstützen. Dieser Leitfaden zielt darauf ab, die Anfälligkeit für Angriffsversuche zu verringern und die allgemeine Sicherheitslage von Netzwerkgeräten zu verbessern.

Die Kritikalität von Telco-Angriffen

Telekommunikationsnetze sind die Lebensadern der modernen Gesellschaft. Sie ermöglichen die persönliche Kommunikation, unterstützen nationale Sicherheitsoperationen und stützen die globalen wirtschaftlichen Aktivitäten. Indem sie diese kritischen Infrastrukturen ins Visier nimmt, nutzt die mit der VR China verbundene Bedrohungsgruppe mit der Bezeichnung Salt Typhoon die zentrale Rolle, die Telekommunikationsunternehmen für Regierungsfunktionen, den Handel und das tägliche Leben spielen. Durch direkte Angriffe auf Telekommunikationsanbieter kann Salt Typhoon :

• Abfangen sensibler Kommunikation: Der Zugriff auf Sprach- und Datenübertragungen liefert unschätzbare Informationen über Regierungsaktivitäten, Unternehmensstrategien und persönliche Informationen.
• Unterbrechung wichtiger Dienste: Eine Beeinträchtigung der Telekommunikationsinfrastruktur kann zu weitreichenden Ausfällen von Diensten führen, die sich auf die Wirtschaft, die öffentliche Sicherheit und die Reaktionsfähigkeit in Notfällen auswirken.
• Einrichtung von langfristigen Spionageplattformen: Ein dauerhafter Zugang ermöglicht eine kontinuierliche Überwachung, die Exfiltration von Daten und die Manipulation der Kommunikation über längere Zeiträume.

Diese Handlungen haben schwerwiegende Folgen, darunter die Untergrabung der nationalen Sicherheit, die Destabilisierung wirtschaftlicher Rahmenbedingungen und die Untergrabung des öffentlichen Vertrauens in Kommunikationssysteme. Salt TyphoonDie Operationen der USA decken sich mit Zielen, die gemeinhin mit staatlich geförderter Cyberspionage in Verbindung gebracht werden:

1. Strategisches Sammeln von Informationen: Beschaffung von Verschlusssachen, Geschäftsgeheimnissen und strategischer Kommunikation, um politische und wirtschaftliche Vorteile zu erzielen.
2. Technologische Hebelwirkung: Diebstahl von geistigem Eigentum und sensiblen Daten, um die eigenen technologischen Fähigkeiten zu verbessern, ohne dass Forschungs- und Entwicklungskosten anfallen.
3. Vorbereitung auf die Cyber-Kriegsführung: Einbettung in kritische Infrastrukturen zur Vorbereitung auf mögliche künftige Konflikte, bei denen die Kontrolle der Kommunikation erhebliche strategische Vorteile bringen könnte.
4. Beeinflussung und Manipulation: Überwachung oder sogar Veränderung der Kommunikation zur Unterstützung von Fehlinformationskampagnen, Spionageversuchen oder Versuchen, das öffentliche Vertrauen in Institutionen zu schwächen.

Durch die Fokussierung auf den Telekommunikationssektor erweitert Salt Typhoon seine Reichweite über einen einzelnen Sektor hinaus und vergrößert dadurch seinen Einfluss und die Schwere seiner potenziellen Auswirkungen. Durch diesen breit angelegten Ansatz wird die Bedrohung kritischer Kommunikationssysteme weltweit erhöht.

Mögliche nächste Schritte von Salt Typhoon

Angesichts ihrer aggressiven Taktik und ihrer wachsenden Reichweite, Salt Typhoon kann:

• Ausweitung der Angriffe auf andere kritische Infrastrukturbereiche wie Energie, Finanzen, Gesundheitswesen und Verkehr.
• Sie entwickeln fortschrittlichere malware, Rootkits und Zero-Day-Exploits, um unentdeckt zu bleiben und sich langfristig Zugang zu verschaffen.
• Ausnutzung von Schwachstellen in der Lieferkette durch gezielte Angriffe auf Drittanbieter und Auftragnehmer, um weitere Netzwerke zu infiltrieren und malware zu verbreiten.
• Nutzung der kompromittierten Daten für strategische Zwecke, Erpressung oder für weitere gezielte Angriffe.

Unternehmen müssen sich auf diese potenziellen Entwicklungen einstellen und ihre Cybersicherheitsvorkehrungen entsprechend verbessern.

Die wichtigsten Empfehlungen der KAG

Die neuesten CISA-Richtlinien betonen sowohl präventive als auch detektivische Maßnahmen. Unternehmen sollten die empfohlenen Maßnahmen in Bezug auf Sichtbarkeit, Überwachung, Konfigurationsmanagement, Segmentierung, sichere Protokolle, Zugriffskontrollen und herstellerspezifische Härtungstechniken umsetzen.

1. Verstärkung der Sichtbarkeit und Überwachung

Salt TyphoonDie Operationen von Angreifern beruhen auf heimlichen Eindringungsmethoden und dem Verstecken im normalen Netzwerkverkehr. Eine verbesserte Sichtbarkeit und Überwachung ermöglicht es Verteidigern, anomales Verhalten frühzeitig zu erkennen, verdächtige Seitwärtsbewegungen zu identifizieren und schnell zu reagieren, bevor Angreifer Fuß fassen können.

Die Empfehlungen der KAG:

• Überprüfen Sie Änderungen an der Konfiguration von Netzwerkgeräten genau und implementieren Sie eine umfassende Warnfunktion, um unbefugte Änderungen zu erkennen.
• Setzen Sie starke Lösungen zur Flussüberwachung ein, sorgen Sie für eine zentrale Protokollierung mit Verschlüsselung und speichern Sie die Protokolldaten sicher.
• Integrieren Sie Packet-Capture-Funktionen und erstellen Sie ein Baseline des normalen Netzwerkverhaltens, um Anomalien zu erkennen.

Vectra AI Ausrichtung:

Vectra AI Attack Signal Intelligence wendet KI-gesteuerte Verhaltenserkennungs- und Korrelationsverfahren für den gesamten Angriffsbereich an, einschließlich Hosts, Konten und Arbeitslasten. Durch die Verwendung eines entitätszentrierten Ansatzes zur Erkennung von Bedrohungen bietet Sicherheitsteams einen umfassenden Einblick in die Netzwerkaktivitäten und das Benutzerverhalten. Vectra AI

Dies steht im Einklang mit den empfohlenen Praktiken zur Verbesserung der Sichtbarkeit und Überwachung, da es den Betreibern ermöglicht,:

• Korrelieren und priorisieren Sie Ereignisse: Nutzen Sie integrierte Analysen, um scheinbar harmlose Indikatoren aus verschiedenen Quellen - z. B. Router, Firewalls und Endpunkte - zu einem kohärenten, nach Prioritäten geordneten Bedrohungsbild zusammenzufügen.
• Verbessern Sie die Sicherheitsabläufe: Nahtlose Integration mit SIEM-Tools zur Anreicherung von Protokollen und Warnmeldungen mit Kontext, wodurch Rauschen reduziert und eine effizientere Triage und Untersuchung ermöglicht wird.
• Beschleunigen Sie die Reaktionszeiten: Erkennen und verfolgen Sie gegnerische Aktionen in Echtzeit, damit Sicherheitsteams schnell handeln können, bevor Angreifer Fuß fassen oder erheblichen Schaden anrichten. Durch tiefe, kontinuierliche Transparenz und kontextbezogene Einblicke hilft Vectra AI Unternehmen dabei, die Richtlinien der CISA und ihrer Partner zu erfüllen und sicherzustellen, dass Überwachungssysteme die Taktiken und Techniken hochentwickelter Bedrohungsgruppen wie Salt Typhoon effektiv erkennen, untersuchen und darauf reagieren können.

2. Härtung von Systemen und Geräten

Salt Typhoon nutzt nicht gepatchte Schwachstellen, schwache Konfigurationen und unsichere Verwaltungsnetzwerke aus. Durch die Absicherung von Systemen und Geräten verringern Unternehmen die Möglichkeiten von Angreifern, bekannte Schwachstellen auszunutzen, und begrenzen die Auswirkungen eines erfolgreichen Eindringens.

Die Empfehlungen der KAG:

• Implementierung von Out-of-Band-Verwaltungsnetzen, die physisch vom Datenflussnetz getrennt sind.
• Erzwingen Sie Zugriffskontrolllisten (ACLs) mit Standardverweigerung und eine strenge Segmentierung mit VLANs, DMZs und mehrschichtigen Verteidigungskonstruktionen.
• Verwenden Sie vertrauenswürdige Verschlüsselungsmethoden für VPNs und deaktivieren Sie unnötige Dienste.
• Wenden Sie regelmäßig Hersteller-Patches an, befolgen Sie ein solides Änderungsverwaltungsverfahren und halten Sie sich an sichere Kennwortrichtlinien.

Vectra AI Ausrichtung:

Während Unternehmen gehärtete Konfigurationen anwenden, bietet Vectra AI einen kontinuierlichen Einblick in die Netzwerksegmente und erkennt Versuche von Querbewegungen, die herkömmliche Verteidigungsmaßnahmen umgehen könnten. Die fortschrittlichen Analysen der Lösung helfen bei der Identifizierung von Verhaltensabweichungen, die durch böswilligen Zugriff und Privilegieneskalation verursacht werden, und unterstützen Betreiber bei der Aufrechterhaltung einer starken Segmentierung und der Durchsetzung strenger Zugriffsrichtlinien.

3. Protokolle und Managementprozesse

Salt Typhoon nutzt unsichere Protokolle, schwache Authentifizierung und schlecht verwaltete administrative Berechtigungsnachweise, um sich in Netzwerken zu bewegen. Die Stärkung von Protokollen und Verwaltungsprozessen schränkt die Möglichkeiten von Angreifern ein, sich erhöhte Berechtigungen zu verschaffen und sich in kritischen Infrastrukturen zu bewegen.

Die Empfehlungen der KAG:

• Beschränken Sie die Geräteverwaltung auf vertrauenswürdige, dedizierte administrative Workstations.
• Deaktivieren oder begrenzen Sie die Exposition des Verwaltungsdatenverkehrs gegenüber dem Internet.
• Verwenden Sie starke Verschlüsselung und moderne kryptographische Algorithmen für Verwaltungsprotokolle.
• Einsatz von rollenbasierter Zugriffskontrolle (RBAC) und Authentifizierungs-, Autorisierungs- und Abrechnungs-Frameworks (AAA).

Vectra AI Ausrichtung:

Die PlattformVectra AI erkennt verdächtige Authentifizierungsereignisse und kann Betreiber auf Anomalien in Verwaltungsprotokollen oder unerwartete Kontoaktivitäten hinweisen. Dies ergänzt strenge Zugangskontrollen und stellt sicher, dass jeder böswillige Versuch, Netzwerkgeräte zu verwalten, für eine rechtzeitige Untersuchung gekennzeichnet wird.

4. Cisco-spezifische Anleitung

Salt Typhoon wurde beobachtet, dass Cisco-spezifische Funktionen und Standardeinstellungen ausgenutzt werden. Die Anwendung von auf Cisco zugeschnittenen Härtungsempfehlungen verringert die Möglichkeiten des Angreifers, herstellerspezifische Funktionen zu missbrauchen und dauerhaften Netzwerkzugang zu erlangen.

Die Empfehlungen der KAG:

• Deaktivieren Sie Cisco-spezifische Funktionen (z. B. Smart Install), wenn sie nicht benötigt werden.
• Erzwingen Sie sichere Webverwaltungseinstellungen oder deaktivieren Sie unnötige Webdienste.
• Verwenden Sie sichere Mechanismen zur Speicherung von Passwörtern (z. B. Typ 8) und stellen Sie sicher, dass die TACACS+-Schlüssel verschlüsselt sind.

Vectra AI Ausrichtung:

Während Netzwerkverteidiger Cisco-Umgebungen abhärten, überwacht Vectra AI kontinuierlich die Einführung bösartiger Muster, die auf zuvor beobachtete Bedrohungen aus der Volksrepublik China hinweisen. Diese Technologie ergänzt die herstellerspezifischen Best Practices und hilft bei der Erkennung verdächtiger Aktivitäten, die nach der Härtung auftauchen können.

5. Berichterstattung über Vorfälle und "Secure by Design

Salt TyphoonAngriffe profitieren von verzögerten Reaktionen und unsicheren Produkten. Eine zeitnahe Berichterstattung hilft den Behörden, sich entwickelnde Bedrohungen zu verfolgen und darauf zu reagieren, während die Prinzipien des "Secure-by-Design" die Komplexität und das Risiko eines Eindringens von vornherein reduzieren.

• Meldung verdächtiger Aktivitäten an die zuständigen Behörden (z. B. FBI, CISA, ausländische Gegenstellen).
• Anwendung der Grundsätze des "Secure-by-Design" und Forderung nach "Secure-by-Default"-Einstellungen von Anbietern und Lieferanten.

Durch verbesserte Transparenz und robuste Erkennungsfunktionen unterstützt Vectra AI die umfassenderen Prozesse zur Reaktion auf Vorfälle in Unternehmen. Die frühzeitige Erkennung steht im Einklang mit den Grundsätzen von "Secure-by-Design", da sie die Verweildauer minimiert und die Auswirkungen der Aktivitäten von Angreifern mindert. Darüber hinaus können die Erkenntnisse der Lösung die Sammlung von Beweisen unterstützen und eine rechtzeitige Meldung an die Behörden erleichtern.

Salt TyphoonDie Angriffe auf Telekommunikationsinfrastrukturen unterstreichen, wie wichtig es ist, die umfassenden Maßnahmen zu ergreifen, die in den Leitlinien zur verbesserten Sichtbarkeit und Absicherung von Kommunikationsinfrastrukturen (Enhanced Visibility and Hardening Guidance for Communications Infrastructure) beschrieben sind. Netzwerktechniker und -verteidiger sollten diese Empfehlungen umsetzen, um ihre Sicherheitslage zu verbessern und die Möglichkeiten für feindliche Eingriffe zu verringern.

Die Integration von Sicherheitslösungen, die mit diesen Empfehlungen übereinstimmen, stärkt die Abwehrkräfte weiter. Vectra AIDie Funktionen von CISA ergänzen die CISA-Richtlinien, indem sie die Sichtbarkeit verbessern, die Ereigniskorrelation optimieren und Verhaltensanomalien erkennen, die auf bösartige Aktivitäten hinweisen. Durch eine Kombination aus rigorosen Härtungspraktiken, der Einhaltung von "Secure-by-Design"-Prinzipien und fortschrittlichen Technologien wie Vectra AI können Unternehmen ihre kritischen Infrastrukturen besser vor den sich entwickelnden Bedrohungen durch mit der Volksrepublik China verbundene und andere bösartige Bedrohungsgruppen schützen.

Möchten Sie die Vectra AI Plattform in Aktion sehen? Nehmen Sie an unserer selbstgeführten Tour teil oder fordern Sie noch heute eine individuelle Demo an.