Neue Erkenntnisse zur Cyberspionage-Kampagne Salt Typhoon von Cisco

Kategorien:
No items found.
Freigegeben:
February 25, 2025
kostenlos testenTermin buchen

Artikel jetzt als Podcast anhören

Chinesische Cyberspionage-Kampagne „Salt Typhoon“ – Cisco veröffentlicht weitere Details

Cisco hat weitere Informationen über die groß angelegte Cyberspionage-Kampagne namens „Salt Typhoon“ veröffentlicht, die mehrere Telekommunikationsanbieter kompromittiert hat. Die mutmaßlich von Peking gesteuerte Gruppe zeigt hochentwickelte Fähigkeiten, darunter langfristige Persistenz in kompromittierten Systemen und die umfassende Exfiltration sensibler Daten. Cisco Talos, die Forschungseinheit von Cisco, verfolgt diese Operation, die erstmals Ende 2024 gemeldet und später von US-Behörden bestätigt wurde, genau.

Infiltration von Kernnetzwerken und Nutzung von „Living-off-the-Land“-Techniken

Cisco Talos enthüllte, dass es Salt Typhoon gelungen ist, in die Kernnetzwerke mehrerer Telekommunikationsunternehmen einzudringen. Dabei wurden Sicherheitslücken ausgenutzt und Anmeldeinformationen missbraucht, um über Jahre hinweg verdeckten Zugriff zu erhalten. Die Raffinesse und der Fokus von Salt Typhoon deuten nach Ansicht von Cisco Talos auf die Beteiligung einer staatlich gesponserten Advanced Persistent Threat (APT)-Gruppe hin. Die gezielte Natur der Kampagne, ihre umfassende Planung und die technische Ausführung entsprechen den Merkmalen staatlicher Cyberoperationen.

Ein charakteristisches Merkmal der Kampagne ist der umfassende Einsatz von „Living-off-the-Land“ (LOTL)-Techniken. Anstatt auf eigene Malware zurückzugreifen, nutzten die Angreifer vorhandene Funktionen und administrative Tools innerhalb der kompromittierten Umgebungen, um eine Entdeckung zu vermeiden. Durch die Nutzung von Tools, die in Netzwerkgeräten vorhanden sind oder dort platziert wurden, konnte Salt Typhoon über einen längeren Zeitraum unentdeckt bleiben – Cisco deckte einen Fall auf, in dem der Zugriff über drei Jahre hinweg aufrechterhalten wurde.

Kompromittierung von Zugangsdaten und Ausweitung des Zugriffs

Obwohl es Hinweise darauf gibt, dass in einem Fall eine ältere Cisco-Sicherheitslücke (CVE-2018-0171) ausgenutzt wurde, erfolgte die Mehrzahl der Einbrüche mithilfe legitimer Anmeldeinformationen, die von den Opfern gestohlen wurden. Weiterer Zugriff wurde durch das Sammeln neuer Anmeldeinformationen über kompromittierte Geräte, schwache Passwortverschlüsselungsmethoden und das Abfangen von Netzwerkverkehr wie SNMP, TACACS und RADIUS erlangt.

Die Angreifer priorisierten die Erfassung von Anmeldeinformationen und Authentifizierungsdaten, die in den Konfigurationen der Geräte gespeichert waren, wie z. B. SNMP-Community-Strings. Schwachstellen in der Verschlüsselung wurden ausgenutzt, so dass die Angreifer Passwörter offline leicht entschlüsseln konnten. Darüber hinaus wurden Tools zur Verkehrserfassung wie *tcpdump* und Cisco-spezifische Befehle wie *tpacap* verwendet, um sensible Daten zu überwachen und Sicherheitsschlüssel zu entdecken.

Exfiltration von Konfigurationen und Infrastruktur-Pivoting

In zahlreichen Fällen exfiltrierten die Angreifer Netzwerkkonfigurationen über TFTP oder FTP. Diese Dateien enthielten oft Authentifizierungsmaterial und einen detaillierten Bauplan des kompromittierten Netzwerks, was weitere Aufklärung und laterale Bewegungen ermöglichte. Salt Typhoon „sprang“ geschickt zwischen kompromittierten Geräten hin und her, minimierte verdächtige Aktivitäten und nutzte vertrauenswürdige Quellen, um ihre Operationen auszuführen. In einigen Szenarien wurden kompromittierte Geräte innerhalb eines Telekommunikationsunternehmens als Gateways für Angriffe auf Systeme in einem anderen Telekommunikationsunternehmen verwendet, was die Vernetzung dieser Netzwerke unterstreicht.

Fortgeschrittene Techniken und Verteidigungsstrategien

Salt Typhoon demonstrierte ein robustes Arsenal an fortgeschrittenen Techniken, die es ihnen ermöglichten, unentdeckt zu bleiben und sich tief in den Zielnetzwerken zu verankern. Dazu gehörten Modifikationen von Geräten und Konfigurationen, Paketaufnahmetechniken mit Tools wie *tcpdump* und dem eigens entwickelten Tool JumbledPath sowie ausgeklügelte Strategien zur Verteidigungsumgehung, wie das Löschen von Protokolldateien und das Ändern von Gerätezuständen.

Empfehlungen zur Schadensbegrenzung

Angesichts eines so raffinierten Gegners wie Salt Typhoon unterstreicht Cisco die Notwendigkeit strenger Sicherheitspraktiken für die Verteidiger von Netzwerkinfrastrukturen und empfiehlt sowohl Cisco-spezifische als auch allgemeine Maßnahmen. Dazu gehören die Deaktivierung älterer Funktionen und nicht verwendeter Dienste, die Stärkung der Passwortverschlüsselung, die Einschränkung des Zugriffs auf die Guest Shell, regelmäßige Patches von Geräten, die Einführung strenger Zugriffskontrollen, die Implementierung einer umfassenden Überwachung und die zentrale Speicherung von Konfigurationen.

Die Salt-Typhoon-Kampagne ist eine ernste Erinnerung an die anhaltenden und sich entwickelnden Bedrohungen, denen Anbieter kritischer Infrastrukturen ausgesetzt sind. Während Telekommunikationsunternehmen in diesem Fall im Mittelpunkt standen, unterstreichen diese Erkenntnisse die Schwachstellen, denen Unternehmen in allen Sektoren ausgesetzt sind. Robuste Segmentierung, Geräte-Patching, Anmeldeinformationshygiene und detaillierte Protokollierung sind entscheidend, um ähnliche Sicherheitsverletzungen in Zukunft zu verhindern.

Bibliography: https://www.telecomstechnews.com/news/cisco-further-exposes-salt-typhoon-intrusions-of-telecoms-networks/ https://www.cybersecuritydive.com/news/cisco-salt-typhoon-used-new-custom-malware-in-telecom-attacks/740629/ https://thehackernews.com/2025/02/cisco-confirms-salt-typhoon-exploited.html https://www.ccn.com/news/technology/salt-typhoon-hacks-cisco-cyber-intrusion/ https://www.secureworld.io/industry-news/salt-typhoon-espionage-cisco-routers https://www.securityweek.com/cisco-details-salt-typhoon-network-hopping-credential-theft-tactics/ https://www.techtarget.com/searchsecurity/news/366619108/Salt-Typhoon-compromises-telecom-providers-Cisco-devices https://www.infosecurity-magazine.com/news/salt-typhoon-cisco-custom-tool/ https://blog.talosintelligence.com/salt-typhoon-analysis/ https://cyberscoop.com/salt-typhoon-china-ongoing-telecom-attack-spree/
Was bedeutet das?

Wie können wir Ihnen heute helfen?

Das Expertenteam von Mindverse freut sich darauf, Ihnen zu helfen.
Vorbereitete KI Lösungen für:
Marketing & PRKreative & DesignerProjektleiter
Recht & FinanzenVertrieb & Kunden-ServiceTeams
Für StudentenFür Bildungseinrichtungen

Fortschritte im R1-ähnlichen Reasoning bei großen Sprachmodellen durch verstärkendes Lernen und Werkzeugeinsatz

March 11, 2025
Mehr lesen
No items found.

Chinas Manus AI: Ein innovativer KI-Agent im Überblick

March 11, 2025
Mehr lesen
No items found.

Kinderdaten im Fokus: Die Herausforderungen der Datensammlung durch Social Media Plattformen

March 11, 2025
Mehr lesen
No items found.

Fortschritte bei spezialisierten KI-Agenten: OpenAIs neue Entwicklungen

March 11, 2025
Mehr lesen
No items found.

Innovative Entwicklungen in der KI-Sicherheit durch Ilya Sutskevers SSI

March 11, 2025
Mehr lesen
No items found.

Feinabstimmung von KI-Modellen in der Unternehmenspraxis

March 11, 2025
Mehr lesen
No items found.
Heute kostenlos testen
Gespräch buchen
Künstliche Intelligenz für alle – Ihr Begleiter beim Schreiben von Texten, Finden neuer Ideen, Erstellen von Inhalten und Gewinnen von Erkenntnissen. Generieren Sie einzigartige Inhalte in Sekundenschnelle und erledigen Sie mehrere Tage Arbeit in nur wenigen Stunden! Lassen Sie sich von der Effizienz und Kreativität unserer KI überzeugen.
©2024 Mindverse. Alle Rechte vorbehalten
Moralische Grundsätze
Datenschutzerklärung von Mindverse
AGBs
Impressum
AGBs für das Trainieren von eigenen Bilder Modellen