Chinesische Hacker brechen in die US-Nationalgarde bei einem großen Cyberangriff ein

Ein vertrauliches Memo des Ministeriums für Innere Sicherheit (DHS) zeigt, dass das Computernetzwerk der Nationalgarde eines US-Bundesstaates von einer mit dem chinesischen Staat verbundenen Hackergruppe, bekannt als „Salt Typhoon“, infiltriert wurde.

Das Memo, das zuerst von NBC berichtet wurde, wurde durch einen Antrag auf Informationsfreiheit (FOIA) erhalten, der von der gemeinnützigen Organisation zur Transparenz der nationalen Sicherheit, Property of the People, eingereicht wurde.

Es wird weiter ausgeführt, dass die Hacker „das Computernetzwerk der Nationalgarde eines US-Bundesstaates umfassend kompromittiert“ haben, und zwar über einen Zeitraum von neun Monaten, von März bis Dezember 2024, und unentdeckt blieben. Dieser Vorfall markiert eine der größten Cyber-Spionagekampagnen gegen die amerikanische Militärinfrastruktur in jüngster Zeit.

Was ist Salt Typhoon

Salt Typhoon ist ein fortgeschrittener, anhaltender Bedrohungsakteur (ATP), von dem angenommen wird, dass er vom Ministerium für Staatssicherheit (MSS) Chinas betrieben wird. Er ist bekannt dafür, hochkarätige Cyber-Spionagekampagnen durchzuführen, insbesondere gegen die Vereinigten Staaten. Die Hackergruppe konzentriert sich auf das Sammeln von Informationen und den dauerhaften Zugriff auf Netzwerke in verschiedenen Sektoren, wie Verteidigung, Energie und Kommunikation.

Was wurde bei dem Vorfall offengelegt

Zwischen März und Dezember 2024 exfiltrierte die Hackergruppe interne Karten und Netzwerkverkehrsdiagramme, die die Kommunikationsflüsse zwischen den Einheiten der Nationalgarde in allen 50 Bundesstaaten und vier US-Territorien beschreiben.

Sie stahlen auch Administratoranmeldeinformationen und 1.462 Netzwerk-Konfigurationsdateien mit Zugriff auf 70 US-Regierungs- und kritische Infrastruktureinheiten, die sich über 12 Sektoren erstrecken – einschließlich Energie, Kommunikation, Transport, Wasser und Abwasser, die verwendet werden könnten, um in die Netzwerke der Nationalgarde und der Regierung in anderen Bundesstaaten einzudringen.

Darüber hinaus wurden auch persönliche Identifikationsdaten (PII) von Mitgliedern des Dienstes und Standorte von staatlichen Cybersicherheitspersonal in mehreren Bundesstaaten betroffen.

„Zwischen März und Dezember 2024 hat Salt Typhoon umfassend das Netzwerk der Nationalgarde eines US-Bundesstaates kompromittiert und unter anderem seine Netzwerk-Konfiguration und seinen Datenverkehr mit den Netzwerken seiner Gegenstücke in jedem anderen US-Bundesstaat und mindestens vier US-Territorien gesammelt, so ein DOD-Bericht“, heißt es in dem Memo.

„Diese Daten beinhalteten auch die Administratoranmeldeinformationen und Netzwerkdiagramme dieser Netzwerke – die verwendet werden könnten, um nachfolgende Salt Typhoon-Hacks dieser Einheiten zu erleichtern.“

Laut dem Memo hat Salt Typhoon eine Geschichte darin, gestohlene Netzwerk-Topologien und Konfigurationsdaten zu verwenden, um in US-Regierungsbehörden und kritische Infrastruktursysteme einzudringen.

„Salt Typhoon hat zuvor exfiltrierte Netzwerk-Konfigurationsdateien verwendet, um Cyber-Eindringlinge anderswo zu ermöglichen. Zwischen Januar und März 2024 exfiltrierte Salt Typhoon Konfigurationsdateien, die mit anderen US-Regierungs- und kritischen Infrastruktureinheiten verbunden sind, einschließlich mindestens zwei US-Bundesbehörden. Mindestens eine dieser Dateien informierte später über ihren Kompromiss eines verwundbaren Geräts im Netzwerk einer anderen US-Regierungsbehörde“, fügte das Memo hinzu.

Warum es wichtig ist

Salt Typhoon ist nicht neu – es hat zuvor große US-Telekommunikationsunternehmen, einschließlich AT&T, Verizon und T-Mobile, überwiegend durch eine Cisco-Sicherheitsanfälligkeit sowie Satellitensysteme wie Viasat und andere Dienstleister sowohl in den USA als auch international kompromittiert.

Reaktion und Antwort der Regierung

Das National Guard Bureau bestätigte den Vorfall, besteht jedoch darauf, dass die Missionen nicht gestört wurden. Eine Untersuchung ist im Gange, um das volle Ausmaß des Eindringens zu bewerten.

„Während wir keine spezifischen Details zu dem Angriff oder unserer Reaktion darauf bereitstellen können, können wir sagen, dass dieser Angriff die Nationalgarde nicht daran gehindert hat, zugewiesene staatliche oder föderale Missionen zu erfüllen, und dass das NGB weiterhin das Eindringen untersucht, um dessen volles Ausmaß zu bestimmen“, sagte ein Sprecher des National Guard Bureau.

Darüber hinaus koordinieren CISA, DHS und das Pentagon Maßnahmen zur Eindämmung des Vorfalls und ziehen verstärkte Sicherheitsmaßnahmen in Betracht, einschließlich stärkerer Firewalls, verbesserter Verschlüsselung, strengerer Zugangskontrollen und breiterer Implementierung von Zero Trust-Architekturen.

In der Zwischenzeit hat ein Sprecher der chinesischen Botschaft in Washington die Hacker-Kampagne nicht bestritten, argumentierte jedoch, dass die USA keinen konkreten Beweis vorgelegt haben, der China mit den Cyberangriffen von Salt Typhoon verbindet.

„Cyberangriffe sind eine gemeinsame Bedrohung, mit der alle Länder, einschließlich China, konfrontiert sind“, sagte der Sprecher und fügte hinzu, dass die USA „nicht in der Lage waren, schlüssige und zuverlässige Beweise zu liefern, dass ‚Salt Typhoon‘ mit der chinesischen Regierung verbunden ist.“