Lehren aus dem „Volt Typhoon“-Botnet

Chinesische Hacker lieben diese Netzwerkprodukte

08.02.2024

Von

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.

Alle Artikel des Autors

Email: Connect:

US-Behörden warnen, dass sich die mit China assoziierte Hacker-Gruppe „Volt Typhoon“ gerne Zugriff auf IT-Infrastruktur ihrer Ziele verschafft, indem sie Schwachstellen in Produkte von Anbietern wie Fortinet, Ivanti, Cisco, Netgear und Citrix ausnutzt.

Staatlich unterstützte Hackerangriffe aus China nutzen gerne ungepatchte Netzwerkprodukte von Fortinet, Ivanti, Netgear, Citrix und Cisco.
Foto: Paopano - shutterstock.com

FBI, NSA und Cybersecurity and Infrastructure Security Agency (CISA) haben eine Untersuchung zu Aktivitäten der mit der Volksrepublik Chna in Zusamenhang gebrachten Hacker-Gruppe "Volt Typhoon" veröffentlicht. Sie listen darin auch besonders häufig als Einfallstor in die Netzwerke der Opfer genutzte Produkte auf. "Volt Typhoon" ist in dem, was es tut, sehr gut: Die Grupe hat den US-Behörden zufolge "seit mindestens fünf Jahren Zugang zu den IT-Umgebungen einiger Opfer zu und konnte in deren Systemen Fuß fassen".

Als Anbieter von Netzwerkgeräten, die häufig kompromittiert wurden, um Zugang zu Zielumgebungen zu erhalten, nennen die US-Behörden Fortinet, Ivanti Connect Secure (ehemals Pulse Secure), Netgear, Citrix und Cisco. Die Angreifer "nutzen häufig öffentlich zugänglichen Exploit-Code für bekannte Schwachstellen, sind aber auch geschickt darin, Zero-Day-Schwachstellen zu entdecken und auszunutzen", so die Behörden.

Als Beispiel eines nachgewiesenermaßen erfolgreichen Angriffs nennen die US-Behörden einen Fall, in dem Volt Typhoon "wahrscheinlich ersten Zugriff durch die Ausnutzung von CVE-2022-42475 in einer nicht gepatchten FortiGate 300D-Firewall am Netzwerkrand" erhielt.

Patch-Managment vernachlässigt

Fortinet nahm das zum Anlass, um in einem Blog-Post erneut darauf hinzuweisen, dass "Organisationen über ein robustes Patch-Management-Programm verfügen und Best Practices befolgen müssen, um eine sichere Infrastruktur zu gewährleisten".

Auch Cisco predigt schon seit Jahren die Bedeutung von Patch-Management, hat aber in der Vergangenheit auch schon eingeräumt, dass es diese Aufgabe mit seiner Informations- und Update-Politik den Kunden nicht immer einfach gemacht hat.

Nicht eindeutig aus den Aussagen der US-Behörden geht hervor, inwieweit die Tatsache, dass die Produkte der genannten Hersteller - zumindest von Cisco, Fortinet und Netgear - zu den am weitesten verbreiteten gehören, dazu beigetragen hat, dass sie auch am häufigsten angegriffen wurden. Unzulässig wäre es auf alle Fälle, aus der Warnung abzuleiten, dass die Geräte dieser Hersteller am anfälligsten sind. Legitim wäre es jedoch zu fragen, inwieweit diese Hersteller die Mechanismen für Security-Updates gerade bei ihren KMU-Kunden vereinfachen und optimieren könnten - denn ganz offensichtlich sind die mit der aktuellen Praxis oft überfordert.

Botnet von "Volt Typhoon" abgeschaltet

Ende Januar 2024 hatte das FBI bekannt gegeben, dass es ein Botnet staatlich unterstützter chinesischer Hacker - eben der Gruppe "Volt Typhoon"- abschalten und die Malware von befallenen Routern in US-Unternehmen entfernen konnte. Betroffen waren "Hunderte" von KMU in den USA. Das so geschaffene Botnetz hätte für einen Angriff auf die kritische Infrastruktur der USA genutzt werden können, teilte das FBI mit.

"Bei einigen Opfern handelt es sich um kleinere Organisationen mit begrenzten Cybersicherheitsfähigkeiten, die kritische Dienste für größere Organisationen oder wichtige geografische Standorte bereitstellen", erklärte die Behörde dazu. In der parallel gegebenen Empfehlung wiesen US-Behörden darauf hin, dass das Einspielen von Patches für Netzwerkgeräte ein wesentlicher Schritt zum Schutz vor Angriffen durch "Volt Typhoon" sei. Allerdings waren die "überwiegende Mehrheit" der Router im Volt-Typhoon-Botnetz veraltete Router von Cisco und Netgear, die nicht mehr mit Sicherheitsupdates unterstützt werden.

Patch-Management auch Aspekt bei NIS2

Patch-Management ist auch eine der Anforderungen, die in Europa mit NIS2 auf die Unternehmen zukommt. Die Regelung tritt Mitte Oktober in Kraft und betrifft direkt etwa 30.000 bis 40.000 Unternehmen. Es ist aber damit zu rechnen, dass auch viele deren Zulieferer in die Pflicht genommen werden - um Szenaren wie jetzt in den USA zu vermeiden.

Derzeit arbeitet die Bundesregierung an dem erforderlichen Umsetzungsgesetz für die zugrundeliegende EU-Richtlinie. Einen Aufschub dürfen sich Unternehmen aber nicht erhoffen: Schafft es Deutschland nicht, rechtzeitig ein nationales Gesetz zu verabschieden, gilt automatisch die EU-Vorgabe.

Mehr zum Thema

Renaissance des Patch-Managements

Was tun, gegen die Schwachstellen-Flut?

Vulnerability Management: Patchen allein ist nicht genug

CP-Newsletter

Mit unseren kostenlosen CP-Newslettern bleiben Sie stets top informiert
und erhalten Zugriff auf all unsere Studien!

Hier anmelden!

ChannelPartner Kongress 2024

Auf dem ChannelPartner Kongress am 16. und 17. September 2024 in Düsseldorf teilen IT-Dienstleister, Systemhäuser, Service Provider und Technologieanbieter ihre Erfahrungen. Gemeinsam werden Lösungswege skizziert, inklusive eines Ausblicks auf die künftige Marktentwicklung über 2024 hinaus.

Weiteres Highlight ist die Auszeichnung der "Besten IT-Dienstleister 2024".
Mehr Infos hier!

ChannelPartner Kongress 2024

Security

Patch-Managment vernachlässigt

Botnet von "Volt Typhoon" abgeschaltet

Patch-Management auch Aspekt bei NIS2

Per E-Mail versenden

Artikel als PDF kaufen

Über den Autor