FBI-Warnung: Salt Typhoon hat die "Kommunikationsgewohnheiten" zerstört - 200 Unternehmen, 80 Länder: Der "stille Eindringling" Salt Typhoon chinesischer Herkunft zeichnet die Umrisse einer globalen Überwachung.

1) Was passiert ist: Von 9 Unternehmen zu "200 Unternehmen"

Am 27. August (US-Zeit) erklärte der Leiter der Cyber-Abteilung des FBI, dass der Einbruch durch Salt Typhoon in den USA mindestens 200 Unternehmen erreicht habe. Seit letztem Jahr, als der Verstoß gegen 9 große Telekommunikations- und Internetunternehmen in den USA bekannt wurde, hat sich das Ziel sowohl horizontal als auch vertikal ausgeweitet. Die Aussage wurde durch einen Bericht von TechCrunch weit verbreitet und symbolisiert den Wechsel der Ermittlungsbehörden zu einer "branchenübergreifenden" Einschätzung.TechCrunch

Diese Einschätzung wurde durch eine gemeinsame Cyber-Beratung, die von 13 Ländern (USA, UK, Australien, Kanada, Neuseeland, Deutschland, Italien, Japan, Niederlande, Finnland, Tschechien, Polen, Spanien) unterzeichnet wurde, untermauert. Das Dokument stimmt mit Berichten überein, die darauf hinweisen, dass der Einfluss in einem "Umfang von 80 Ländern" von der Telekommunikation bis hin zu Regierung, Transport, Gastgewerbe und Militär zu spüren war.CISAThe Washington PostWall Street Journal

2) Wie tief war der Verstoß?

Laut Berichten führender US-Zeitungen läuft die Operation seit etwa 2019 und könnte Informationen über Anrufprotokolle, einige Standortdaten und sogar kommunikationsbezogene Systeme für die Strafverfolgung berührt haben. Das FBI hat etwa 600 Unternehmen und Organisationen gewarnt und technische Informationen zur Erkennung und Eindämmung verteilt.Wall Street Journal

Salt Typhoon ist ein von Microsoft benannter "Cluster" von Spionageaktivitäten, die mit China in Verbindung gebracht werden. Andere Namen wie OPERATOR PANDA, GhostEmperor, UNC5807/UNC2286, FamousSparrow erscheinen in der Literatur, wobei Beobachtungen von verschiedenen Unternehmen und Institutionen übereinstimmen.CISAMicrosoft Learnvaronis.comtrustwave.com

3) Wie sind sie eingedrungen: Die Hauptpunkte der TTP

Zusammenfassend aus der gemeinsamen Beratung und den technischen Erklärungen der Medien lassen sich die Kernpunkte der TTP (Taktiken, Techniken und Verfahren) wie folgt zusammenfassen:

• Kettenmissbrauch bekannter Schwachstellen in Grenzgeräten: Ausbreitung von ungepatchten Stellen in Routern, VPNs, Firewalls usw.Verbergen von Konfigurationsänderungen und Manipulation der Protokollübertragung zur Verlängerung des Aufenthalts.CISAThe Hacker News

• Diebstahl von Anmeldedaten und "Persistenz" von Geräten: Extraktion von Anmeldeinformationen auf Geräten, Hinzufügen von Virtualisierungsumgebungen und Netzwerktunneln für verdeckte Verbindungen zu externen C2.CISA

• Gezielte Kommunikation: Zugriff auf Anruf-Metadaten und Extraktion von hochüberwachungswertigen Zielen durch Verständnis der Netzwerkkontrolle.Wall Street Journal

Die Beratung bietet IOC (Indikatoren für Kompromittierung) und Erkennungsregeln in JSON usw. an und fordert, die Integritätsprüfung der Geräte-Firmware und Konfigurationsdifferenz-Audits als "Standard für den kontinuierlichen Betrieb" zu erhöhen.CISA

4) Reaktionen in den sozialen Medien: Temperaturunterschied zwischen Praxis und öffentlicher Meinung

• Offizielles FBI forderte auf X zur Bezugnahme auf die gemeinsame Beratung auf und rief Netzwerkschützer zur Einführung konkreter Maßnahmen auf. Der Ton war eine erneute Bestätigung der "anhaltenden Bedrohung".X (formerly Twitter)

• Unter Sicherheitsjournalisten wurde der Umfang von **"200 Unternehmen, 80 Länder"** als starkes Signal hervorgehoben und auf Mastodon weit verbreitet. Beiträge, die auf die Berichterstattung der Washington Post Bezug nehmen, waren auffällig.Mastodon hosted on mastodon.socialThe Washington Post

• Offizielle Konten von Branchenmedien berichteten, dass Salt Typhoon in der internationalen gemeinsamen Beratung als oberste Bedrohung eingestuft wurde, und empfahlen die Verwaltung von CVEs und die Aufbewahrung von Grenzgeräteloggen.X (formerly Twitter)

Auf sozialen Medien wurden die drei praktischen Themen "Förderung der Nutzung von E2EE-Nachrichten", "Überprüfung der Authentifizierung, die auf Anrufen und SMS basiert" und "Versionskontrolle der Geräteeinstellungen" zum Trend. Im Gegensatz dazu verbreitete sich in geopolitischen Auseinandersetzungen auch die Leugnung der Beteiligung der chinesischen Regierung, was den Anschein eines Informationskriegs erweckte.Reuters

5) Bedeutung für Japan: Die "Beteiligung" an der gemeinsamen Erklärung

Japan ist ein Unterzeichner der gemeinsamen Beratung und die kritische Infrastruktur im Inland (Telekommunikation, Transport, Gastgewerbe, Öffentlichkeit) ist ein "Beteiligter" der Maßnahmen. Besonders

• Konfigurationsaudits von Grenzgeräten (nicht genutzte Tunnel oder verdächtige NAT/ACL)

• Externe Sicherung von Geräteloggen (SIEM-Übertragung + Manipulationserkennung)

• Automatisierte Sichtbarmachung des Betriebs (Konfigurationsdifferenzen, Firmware-Konsistenz)
  sind zu einer "Basislinie" geworden, die auch unter Betriebskosten aufrechterhalten werden sollte.The Hacker NewsCISA

6) Konkrete Maßnahmen, die jetzt ergriffen werden können (für CISO/Betriebsteams)

1. Sofortige Aufgabenstellung der Beratung: Erwerb und Anwendung der IOC/Erkennungsregeln von AA25-239A und Jagd in den Protokollen der letzten 90 Tage.CISA

2. "Vollständige SBOM und Versionsinventur" von Grenzgeräten: Inventur der anfälligen Versionen auf Geräten von Cisco/Juniper/Palo Alto/anderen, EoL/EoS in Austauschpläne einbeziehen.The Hacker News

3. Rückzug von der Authentifizierung auf Basis von Anrufen/SMS: Hochrisikobereiche sollten auf verschlüsselte Nachrichten oder FIDO2 umsteigen, vertrauliche Kommunikation über Sprachleitungen grundsätzlich verbieten. Hintergrundberichte in internen Richtlinien festlegen.Wall Street Journal

4. Kontinuierliche Überwachung von "Konfigurationsdifferenzen": Hashing und täglicher Vergleich von Gerätekonfigurationen. ##HTML_TAG_