ChannelPartner
Alternatives Drucklayout:
› reiner Text
Link: https://www.channelpartner.de/a/chinesische-hacker-lieben-diese-netzwerkprodukte,3617613

Lehren aus dem „Volt Typhoon“-Botnet

Chinesische Hacker lieben diese Netzwerkprodukte

Datum:08.02.2024
Autor(en):Peter Marwan
US-Behörden warnen, dass sich die mit China assoziierte Hacker-Gruppe „Volt Typhoon“ gerne Zugriff auf IT-Infrastruktur ihrer Ziele verschafft, indem sie Schwachstellen in Produkte von Anbietern wie Fortinet, Ivanti, Cisco, Netgear und Citrix ausnutzt.

Staatlich unterstützte Hackerangriffe aus China nutzen gerne ungepatchte Netzwerkprodukte von Fortinet, Ivanti, Netgear, Citrix und Cisco.
Foto: Paopano - shutterstock.com

FBI, NSA und Cybersecurity and Infrastructure Security Agency (CISA) haben eine Untersuchung zu Aktivitäten der mit der Volksrepublik Chna in Zusamenhang gebrachten Hacker-Gruppe "Volt Typhoon1" veröffentlicht. Sie listen darin auch besonders häufig als Einfallstor in die Netzwerke der Opfer genutzte Produkte auf. "Volt Typhoon" ist in dem, was es tut, sehr gut: Die Grupe hat den US-Behörden zufolge "seit mindestens fünf Jahren Zugang zu den IT-Umgebungen einiger Opfer zu und konnte in deren Systemen Fuß fassen".

Als Anbieter von Netzwerkgeräten, die häufig kompromittiert wurden, um Zugang zu Zielumgebungen zu erhalten, nennen die US-Behörden2 Fortinet, Ivanti Connect Secure (ehemals Pulse Secure3), Netgear, Citrix und Cisco. Die Angreifer "nutzen häufig öffentlich zugänglichen Exploit-Code für bekannte Schwachstellen, sind aber auch geschickt darin, Zero-Day-Schwachstellen zu entdecken und auszunutzen", so die Behörden.

Als Beispiel eines nachgewiesenermaßen erfolgreichen Angriffs nennen die US-Behörden einen Fall, in dem Volt Typhoon "wahrscheinlich ersten Zugriff durch die Ausnutzung von CVE-2022-42475 in einer nicht gepatchten FortiGate 300D-Firewall am Netzwerkrand" erhielt.

Patch-Managment vernachlässigt

Fortinet nahm das zum Anlass, um in einem Blog-Post erneut darauf hinzuweisen4, dass "Organisationen über ein robustes Patch-Management-Programm verfügen und Best Practices befolgen müssen, um eine sichere Infrastruktur zu gewährleisten".

Auch Cisco predigt schon seit Jahren5 die Bedeutung von Patch-Management, hat aber in der Vergangenheit auch schon eingeräumt6, dass es diese Aufgabe mit seiner Informations- und Update-Politik den Kunden nicht immer einfach gemacht hat.

Nicht eindeutig aus den Aussagen der US-Behörden geht hervor, inwieweit die Tatsache, dass die Produkte der genannten Hersteller - zumindest von Cisco, Fortinet und Netgear - zu den am weitesten verbreiteten gehören, dazu beigetragen hat, dass sie auch am häufigsten angegriffen wurden. Unzulässig wäre es auf alle Fälle, aus der Warnung abzuleiten, dass die Geräte dieser Hersteller am anfälligsten sind. Legitim wäre es jedoch zu fragen, inwieweit diese Hersteller die Mechanismen für Security-Updates gerade bei ihren KMU-Kunden vereinfachen und optimieren könnten - denn ganz offensichtlich sind die mit der aktuellen Praxis oft überfordert.

Botnet von "Volt Typhoon" abgeschaltet

Ende Januar 2024 hatte das FBI bekannt gegeben7, dass es ein Botnet staatlich unterstützter chinesischer Hacker - eben der Gruppe "Volt Typhoon"- abschalten und die Malware von befallenen Routern in US-Unternehmen entfernen konnte. Betroffen waren "Hunderte" von KMU in den USA. Das so geschaffene Botnetz hätte für einen Angriff auf die kritische Infrastruktur der USA genutzt werden können, teilte das FBI mit.

"Bei einigen Opfern handelt es sich um kleinere Organisationen mit begrenzten Cybersicherheitsfähigkeiten, die kritische Dienste für größere Organisationen oder wichtige geografische Standorte bereitstellen", erklärte die Behörde dazu. In der parallel gegebenen Empfehlung wiesen US-Behörden darauf hin, dass das Einspielen von Patches für Netzwerkgeräte ein wesentlicher Schritt zum Schutz vor Angriffen durch "Volt Typhoon" sei. Allerdings waren die "überwiegende Mehrheit" der Router im Volt-Typhoon-Botnetz veraltete Router von Cisco und Netgear, die nicht mehr mit Sicherheitsupdates unterstützt werden.

Patch-Management auch Aspekt bei NIS2

Patch-Management ist auch eine der Anforderungen, die in Europa mit NIS28 auf die Unternehmen zukommt. Die Regelung tritt Mitte Oktober in Kraft und betrifft direkt etwa 30.000 bis 40.000 Unternehmen. Es ist aber damit zu rechnen, dass auch viele deren Zulieferer in die Pflicht genommen werden - um Szenaren wie jetzt in den USA zu vermeiden.

Derzeit arbeitet die Bundesregierung an dem erforderlichen Umsetzungsgesetz für die zugrundeliegende EU-Richtlinie9. Einen Aufschub dürfen sich Unternehmen aber nicht erhoffen: Schafft es Deutschland nicht, rechtzeitig ein nationales Gesetz zu verabschieden, gilt automatisch die EU-Vorgabe.

Mehr zum Thema

Renaissance des Patch-Managements10

Was tun, gegen die Schwachstellen-Flut?11

Vulnerability Management: Patchen allein ist nicht genug12

Links im Artikel:

1 https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
2 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
3 https://www.channelpartner.de/a/ivanti-uebernimmt-mobile-iron-und-pulse-secure,3338357
4 https://www.fortinet.com/blog/psirt-blogs/importance-of-patching-an-analysis-of-the-exploitation-of-n-day-vulnerabilities
5 https://blogs.cisco.com/security/patch-management-overview-challenges-and-recommendations
6 https://blogs.cisco.com/security/i-cant-keep-up-with-all-these-cisco-security-advisories-do-i-have-to-upgrade
7 https://www.justice.gov/opa/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical
8 https://www.channelpartner.de/a/nis-2-das-sollten-sie-beachten,3674569
9 https://digital-strategy.ec.europa.eu/de/policies/nis2-directive
10 https://www.channelpartner.de/a/renaissance-des-patch-managements,3617217
11 https://www.channelpartner.de/a/tausend-schwachstellen-in-microsoft-produkten,3341408
12 https://www.channelpartner.de/a/patchen-allein-ist-nicht-genug,3548293
IDG Tech Media GmbH
Alle Rechte vorbehalten. Jegliche Vervielfältigung oder Weiterverbreitung in jedem Medium in Teilen oder als Ganzes bedarf der schriftlichen Zustimmung der IDG Tech Media GmbH. dpa-Texte und Bilder sind urheberrechtlich geschützt und dürfen weder reproduziert noch wiederverwendet oder für gewerbliche Zwecke verwendet werden. Für den Fall, dass auf dieser Webseite unzutreffende Informationen veröffentlicht oder in Programmen oder Datenbanken Fehler enthalten sein sollten, kommt eine Haftung nur bei grober Fahrlässigkeit des Verlages oder seiner Mitarbeiter in Betracht. Die Redaktion übernimmt keine Haftung für unverlangt eingesandte Manuskripte, Fotos und Illustrationen. Für Inhalte externer Seiten, auf die von dieser Webseite aus gelinkt wird, übernimmt die IDG Tech Media GmbH keine Verantwortung.