Neue Eskalationsstufe zwischen den USA und China - Chinesische Hackerangriffe gegen US-Regierungsbehörden und Militär werden publik

Gleich zwei IT-Sicherheitsvorfälle wurden in den letzten Wochen von der US-Regierung kommuniziert. Bei beiden Vorfällen handelt es sich um gezielte Cyberattacken durch mutmaßlich chinesische Schadakteure. Ziele der Angriffe waren sowohl kritische Infrastrukturen der US-Streitkräfte als auch führende Mitarbeiter:innen des US-Handelsministeriums. Eine kurze Analyse der Angriffe liefern wir Ihnen hier in diesem Blog-Post.

Spätestens seit dem russischen Einmarsch in die Ukraine sind die diametralen Positionen von USA und China auf der gesamten Weltbühne sichtbar. Seit Langem beansprucht China die Rolle einer Supermacht und schickt sich an, die USA von ihrem Platz als dominierende Macht im internationalen System zu verdrängen. Andauernde Drohungen, in Taiwan einzumarschieren, zaghafte Beteiligung an Sanktionen gegen russische Aggression sowie die Errichtung von Inseln in internationalen Gewässern sind nur einige der Aktionen der chinesischen Regierung auf internationalem Parkett. Auch in der Domäne „Cyber“ ist die VR China nicht untätig. Allein in den letzten Wochen wurden mehrere Vorfälle mit signifikantem Ausmaß publik. Diese hatten mutmaßlich das Ziel, Informationen aus der Führung der US-Regierung zu exfiltrieren und die Streitkräfte der USA im Kriegsfall von Strom- und Wasserversorgung zu kappen.

Microsoft kommuniziert am 11.07.2023, dass die chinesische APT-Gruppe Storm-0558 die Outlook-Accounts hochrangiger US-Beamt:innen für mehrere Wochen kompromittieren konnte. Davon betroffen war unter anderem auch Gina Raimondo, die Handelsministerin des Landes. Entdeckt wurde der Angriff am 16.06.2023 durch eine bisher ungenannte US-Bundesbehörde, die verdächtige Aktivitäten in einigen Postfächern (sog. „MailItemsAccessed Events“) bemerkte. Daraufhin konnten Microsoft und CISA Ermittlungen einläuten und die Eindringlinge aus den Systemen drängen. Die Taten könnten mit hoher Wahrscheinlichkeit der chinesischen Hackergruppe zugeordnet werden.

Nach der initialen Kommunikation des Vorfalls war Microsoft einiger Kritik von Anwendern und Presse ausgesetzt. Diese basierte auf mehreren Fehltritten des Software-Giganten:

1. Aus Redmond kamen Informationen zu den Attacken nur Stück für Stück und ohne konkret betroffene Produkte zu nennen. Beispielsweise wurde die Ursache des Vorfalls, also der initiale Angriffsvektor für den Schadakteur, zunächst nicht kommuniziert. Auch zur Mitigation der Lücke schwieg sich Microsoft aus – man hätte die Schwachstelle vendorseitig schließen können, für Kunden gebe es keinen weiteren Grund zur Sorge. FBI und CISA mussten in einer gemeinsamer Advisory Redmonds zunächst eher spärlichen Informationen ergänzen, um Admins Tools an die Hand zu geben.

2. Der Angriffsvektor würde auf eine Nachlässigkeit von Microsoft hindeuten. Die Täter konnten mit einem gestohlenen „OpenID Signing Key“ für Azure AD die Zielsysteme kompromittieren. Dieser Key, eigentlich nur für Privatanwender, gewährte den Schadakteuren Zugang zu den Enterprise-Konten von Outlook, Office, SharePoint und Teams. Microsoft muss also erklären, warum zum einen ein Key für Privatanwender auch die Tore von Business-Anwendungen öffnet und zum anderen, wie die chinesischen Hacker überhaupt an den Key gelangen konnten.

3. Es war den Entdeckern der Kompromittierung nur möglich, auf die Kompromittierung aufmerksam zu werden, da sie mit Purview Audit Premium Zugriff auf die entsprechenden Logs hatten. Kunden der Standard-Edition von Purview Audit hätten weiterhin im Dunkeln getappt. Microsoft wird hier ab September die Logging-Fähigkeiten der Standard-Edition ausweiten.

Parallel zu den Aktivitäten von Storm-0558 arbeiteten sich chinesische Hacker mit einer Schadsoftware namens „Volt Typhoon“ tief in die Systeme des US-Militär vor. Ersten Zugriff erlangten die Angreifer über die Ausnutzung von Zero-Day-Lücken von an das Internet angeschlossenen Fortinet FortiGuard Geräten. Von diesen wurden zudem Active Directory Credentials ausgelesen, was den Hackern einen späteren Zugriff erneut ermöglichen würde. In den Systemen arbeiteten sich die Hacker unter der Verwendung von Living-off-the-Land Binaries (sog. LOLBins) weiter voran. Zur Verschleierung der eigenen Position nutzen die Angreifer zuvor weltweit übernommene Router von kleinen Unternehmen oder Privatanwendern (u.a. ASUS, Cisco, D-Link, Netgear, Zyxel).

Die Ziele der Hacker waren zwar auch im zivilen Bereich (Kommunikationsanbieter, Transport- und Produktionsgewerbe), aber besonders auf Regierungsbehörden und das Militär hatten die Angreifer es abgesehen. Zum Veröffentlichungszeitraum ermitteln US-Behörden weiterhin, wo sich die Hackergruppe überall in Militärsystemen mit der Volt Typhoon Malware festgesetzt hat. Es wird davon ausgegangen, dass insbesondere Strom- und Wasserversorgung von Militärbasen sowie die weltweite Kommunikation der Streitkräfte gestört werden sollten.

Entdeckt wurde die Kampagne nach ersten Funden in den Systemen einer US-Basis auf Guam. Erste forensische Ergebnisse lassen darauf schließen, dass chinesische Hacker mindestens seit Mitte 2021 in den Systemen der US-Streitkräfte ihr Unwesen treiben.

Sicherheitsexpert:innen warnen seit Jahren vor einem kommenden Konflikt der Großmächte im Pazifikraum. Ob die Prognosen Realität werden oder nicht, eines steht schon jetzt fest: Cyberattacken sowie Aufklärung via der Domäne Cyber würden in diesem Konflikt eine große Rolle spielen können. Bereits im Konflikt Russland-Ukraine wurde deutlich, wofür Hackerangriffe genutzt werden können – auf Seiten der Ukraine war es zumeist Aufklärung, Russland setzte auf Wiper Malware zur Störung von Kommunikation und Infrastruktur. Die weitaus höhere Durchsetzung der USA und Chinas mit IT-Systemen, die stärke Vernetzung der Länder auf dem eigenen Territorium und weltweit lassen vermuten, dass Hacker in einem potenziellen Konflikt eine noch größere Rolle einnehmen würden.

Um hierbei nicht in die virtuelle Schusslinie zu geraten, empfiehlt es sich, höchste Aufmerksamkeit auf die Absicherung von Systemen, aber auch auf das Business Continuity Management und Disaster Recovery zu legen. Hier können Sie die Expert:innen von Complion in Projekten unterstützen. Für einen Überblick unserer Leistungen, folgen Sie diesem Link.

Verfasser: Tobias Philipsen