US-FBI-Cyberagent: Salt Typhoon hackt fast alle Amerikaner

 (theregister.com)
1 Punkte von GN⁺ 2025-09-01 | 1 Kommentare | Auf WhatsApp teilen
  • Die Hackergruppe Salt Typhoon ist über Jahre in US-Telekommunikationsnetze eingedrungen und hat in großem Umfang sensible Daten von Millionen Menschen gesammelt.
  • Der Angriff war eine Spionageaktion von beispielloser Größenordnung, bei der Amerikaner wahllos ins Visier genommen wurden.
  • Die mit der chinesischen Regierung verbundenen Unterstützerfirmen von Salt Typhoon kompromittierten Ziele in mehr als 80 Ländern; rund 200 US-Organisationen waren betroffen.
  • Infolge des Angriffs kam es zur Standortverfolgung von Millionen Handy-Nutzern, zur Überwachung des Internetverkehrs und sogar zum Abhören einiger Telefongespräche.
  • Das FBI geht davon aus, dass immer raffiniertere Cyberbedrohungen künftig weiter zunehmen werden, und warnt vor der Notwendigkeit stärkerer Sicherheitsmaßnahmen.

Überblick über die Spionagekampagne von Salt Typhoon

  • Das vom chinesischen Staat unterstützte Hackerkollektiv Salt Typhoon ist über Jahre in große US-Telekommunikationsnetze eingedrungen und hat dabei massenhaft personenbezogene Daten vieler Amerikaner gesammelt, wie das FBI bestätigte.
  • FBI-Vizechef für Cyberfragen Michael Machtinger sagte in einem Interview mit Medien, dass bei diesem Spionageangriff möglicherweise Daten von fast allen Amerikanern gestohlen wurden.
  • Bislang galt oft die Annahme, dass Menschen ohne sensible Positionen kein Ziel seien; Salt Typhoon habe jedoch gezeigt, dass jeder zum Ziel eines Cyberangriffs werden kann.

Umfang des Angriffs und Hintergründe

  • Die Cyber-Spionage von Salt Typhoon begann mindestens 2019 und wurde im Herbst 2023 von der US-Regierung entdeckt.
  • Neben den USA veröffentlichten auch Behörden aus 12 weiteren Ländern eine gemeinsame Warnung zur Schwere des Angriffs.
  • Das Ausmaß der Kompromittierung reichte über neun große US-Telekommunikationsanbieter und Regierungsnetzwerke hinaus bis zu Einrichtungen in über 80 Ländern.
  • Rund 200 US-Organisationen waren betroffen, darunter auch große Telekommunikationsunternehmen wie Verizon und AT&T.
  • Als beteiligte Firmen wurden Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology und Sichuan Zhixin Ruijie Network Technology genannt.
    • Diese Firmen liefern Cyberlösungen an das chinesische Ministerium für Staatssicherheit und die Volksbefreiungsarmee.

Angriffsweise und Schadensbild

"Was China über solche Stellvertreter tut, geht weit über das übliche Maß der Cyber-Spionagebranche hinaus und ist ein wahlloses und gefährliches Verhalten."

  • Machtinger bewertete den Vorfall als einen beispiellos schweren Cyber-Spionageeinbruch in den USA.
  • Salt Typhoon überwachte durch wahllose großflächige Zielerfassung die Geolokationsdaten von Millionen Mobilfunknutzern, den Internetverkehr und sogar Inhalte einiger Telefongespräche.
  • Zum Kreis der Betroffenen gehörten neben gewöhnlichen Bürgern auch mehr als 100 hochrangige aktuelle und ehemalige Mitglieder von Präsidialverwaltungen.
    • Einige Medien berichteten, dass auch Präsident Donald Trump und Vizepräsident JD Vance Ziel gewesen seien.
  • Besonders hochrangige Personen waren von tiefer gehenden Eingriffen in ihre Informationen betroffen, darunter das Abfangen tatsächlicher Inhalte.

Ähnliche Cyberbedrohungen aus China

  • Neben Salt Typhoon kompromittierte auch die Gruppe Volt Typhoon Hunderte veraltete Router, baute daraus ein Botnet auf und verschaffte sich Zugang zu Netzwerken kritischer US-Infrastruktur.
    • Später wurde bestätigt, dass dies der Vorbereitung zerstörerischer Cyberangriffe diente.
  • Die Gruppe Silk Typhoon griff über mehr als ein Jahrzehnt IT- und Cloud-Anbieter an und stahl Daten aus Regierung, Technologie, Bildung, Recht und weiteren Bereichen.

Weitere globale Cyberbedrohungen

  • Machtinger wies darauf hin, dass neben China auch Russland, Iran und Nordkorea sowie in- und ausländische Cybercrime-Organisationen und Ransomware-Gruppen täglich Angriffe fortsetzen.
  • Von solchen Akteuren sei zu erwarten, dass sie zunehmend fortgeschrittene Angriffsmethoden einsetzen.
  • Er betonte die Notwendigkeit aktiver Cybersecurity-Maßnahmen wie mehr Sicherheitsbewusstsein, aktuelle Systeme und den Austausch veralteter Geräte.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-01
Hacker-News-Kommentare

  • Die Security-Community hat immer wieder davor gewarnt, dass die böse Seite zwangsläufig in Netzwerke eindringen wird, wenn man rechtmäßige Überwachung (Lawful Access) einfach automatisierbar macht.
    Inzwischen nutzt China durch CALEA geschwächte Systeme, um Daten aus dem gesamten US-Netzwerk abzugreifen.
    Wenn man sich Fälle wie das frühere Abhören des Google-Backbones durch die NSA, Room 641A, MAINWAY, Poindexter und TIA sowie Palantir anschaut, waren auch die USA keine Ausnahme.
    Die NSA war ursprünglich sowohl für Verteidigung als auch für Angriff zuständig, ist aber seit Jahrzehnten faktisch zu einer auf Angriffe fokussierten Organisation geworden, und wer glaubte, nur die USA könnten so etwas tun, war zu naiv.

    • Eine Tür mit Schloss kann nur von jemandem mit Schlüssel geöffnet werden...
      Aber auch ohne Schlüssel kann man ein Schloss knacken, die Tür ausheben, die Scharniere entfernen, die Tür einschlagen, unten oder oben an ihr vorbeikommen oder die Person mit dem Schlüssel dazu bringen, sie zu öffnen; mit genug Fantasie gibt es noch viele weitere Wege.

    • Ich frage mich, wie genau der Einbruch praktisch erfolgt ist.
      Ich vermute, entweder wurde ein Software-Anbieter kompromittiert, der CALEA unterstützt, oder ein Anbieter von Mediator Devices, die von mehreren Telekommunikationsunternehmen genutzt werden.
      Ein MD (Mediator device) ist ein Software-System, das Flow-Capture (Wiretap-Anfragen) und die Verwaltung von pcap-Beweismitteln übernimmt.
      Ein MD aktiviert üblicherweise per SNMP-Polling (r)span-Ports auf Netzwerkgeräten und saugt dann sämtliche Daten ab, um sie zu speichern.
      Es gibt nicht viele technische Details, deshalb würde mich interessieren, welcher Anbieter und welche Geräte kompromittiert wurden.
      Eine ausführlichere Erklärung zu LI (Lawful Intercept) gibt es hier.

    • Viele Leute, die früher bei der NSA gearbeitet haben, arbeiten inzwischen für private Sicherheitsfirmen wie die NSO Group.
      Wenn man sieht, wie es dazu gekommen ist, ist das beängstigend, aber bei den Gehältern, die sie dort bekommen, hätte ich bei einem entsprechenden Angebot vermutlich auch nachgedacht.
      Wenn dich Hintergrundgeschichten aus der Praxis interessieren, empfehle ich Nicole Perlroths Buch 'This Is How They Tell Me the World Ends'.
      Seit der Veröffentlichung ist noch viel mehr passiert, aber als Einstieg zum Verständnis der Szene ist es sehr hilfreich.

    • Vielleicht ist diese absurde Entscheidung letztlich darauf zurückzuführen, dass Menschen an der Macht ihre eigenen Bürger mehr fürchten als äußere Bedrohungen.

    • Das sind Idioten mit moralischem Überlegenheitsgefühl.
      Sie haben offensive Operationen nicht vergessen; sie wussten wahrscheinlich von Anfang an nichts davon oder es war ihnen egal.

  • Ich habe selbst einmal Spezifikationen für rechtmäßige Überwachung auf 3G-GGSN-Knoten geschrieben.
    Das ist schon lange her, aber damals waren die Spezifikationen so ausgelegt, dass nicht einmal im Netzwerk-Management-System Überwachungsprotokolle hinterlassen wurden.
    Daher konnte der Betreiber nicht erkennen, ob überwacht wurde, und Strafverfolgungsbehörden konnten Überwachungsbefehle direkt über die LI-Konsole erteilen.
    Damals konnten bis zu 3 % des Verkehrs überwacht werden, und es gab Fälle, in denen nicht einmal der Betreiber — geschweige denn das Ziel — von der Überwachung wusste.
    Systeme für rechtmäßige Überwachung sind nicht zwangsläufig leicht zu hacken, aber wenn sie einmal kompromittiert sind, ist es äußerst schwer zu erkennen, ob sie missbraucht werden.
    Deshalb kann kaum jemand sicher sagen, wann und wie eine Kompromittierung begonnen hat.

    • Dass Netzwerkbetreiber keinerlei Audit-Logs zur rechtmäßigen Überwachung sehen können, wirkt extrem gefährlich.
      Wenn jemand eindringt, merkt es am Ende vielleicht niemand.

  • Das ist also das Ergebnis, wenn man verpflichtende staatliche Backdoors in die Netzwerkinfrastruktur einbaut.
    Es ist kaum zu glauben, dass die Sicherheit bei einer so wichtigen Infrastruktur derart schwach war.
    Nach dem OPM-Hack und dem Versagen der CIA beim Betrieb ihrer Online-Dropsites überrascht mich sicherheitstechnische Inkompetenz der Regierung inzwischen überhaupt nicht mehr.

    • Ich überlege ernsthaft, überhaupt keine Telefonnummer mehr zu verwenden.
      Die Sicherheit ist viel zu schwach, und obwohl Telefonnummern ähnlich wie Sozialversicherungsnummern zur Identifizierung genutzt werden, braucht man sie in Wirklichkeit nicht zwingend.

    • Hochklassige staatlich unterstützte Angreifer können dank Technik, Ressourcen und Ausdauer praktisch jedes halbwegs relevante System auch ohne Backdoor kompromittieren.
      Man sollte deshalb nicht ausschließlich bedingungslos Backdoors die Schuld geben, sondern braucht stärkere Cyber-Resilienz und deutlich bessere Verteidigungsfähigkeiten.
      Zum Aufbau eines staatlichen Systems zur Sammlung von Schwachstellen in China lohnt sich der jüngste Bericht des Atlantic Council darüber, wie die USA darauf reagieren könnten.
      Link zum Bericht

    • Computer werden niemals zu 100 % sicher sein, und besonders auf staatlicher Ebene ist physischer Zugriff auf Hardware oft leicht möglich; am Ende ist Sicherheit eine Geldfrage, bei der immer nur weitere Nullen dazukommen.

  • Im Fall Salt Typhoon ist die Lage ungewöhnlich, weil der Vorfall zwar bereits 2024 in großem Maßstab bekannt wurde, aber bis heute nicht vollständig unter Kontrolle ist und weiterläuft.
    In den meisten Fällen werden Lehren erst in der Nachanalyse geteilt, doch hier haben die Angreifer das Netzwerk offenbar weiterhin im Griff und es fließen noch immer Daten ab.
    Zugehöriger Artikel

  • Die offizielle Mitteilung von CISA ist hier zu finden.

    • Doge und MAGA sollen die Belegschaft dieser Behörde (CISA) um 30 % reduziert haben.
      Gerade jetzt, wo Cybersecurity und Infrastruktursicherheit wichtiger denn je sind, ist es ja wirklich ein hervorragender Zeitpunkt, alle Bürokraten rauszuwerfen.
      Link zum Artikel

    • Den direkten Link zur staatlichen Empfehlung gibt es hier.

  • Es gab die Aussage, China verhalte sich mit solchen Aktionen rücksichtslos und gefährlich jenseits der üblichen Standards im Spionagebereich, und ich frage mich ehrlich, was damit überhaupt als „Standard“ für Spionage gemeint sein soll.

    • Wenn man bedenkt, dass US-Geheimdienste mit PRISM, Upstream und Ähnlichem weltweite Kommunikation sammeln, scheint „Standard“ hier eher zu bedeuten, dass bisher nur die USA so etwas tun durften.
      Jetzt ist China offenbar zu einem Konkurrenten auf demselben Niveau geworden.

    • Gemeint ist wohl der „Standard“, dass nur die US-Regierung ihre eigenen Bürger illegal in großem Stil überwachen darf.
      Auf Chinas Verhalten lautet die Reaktion dann: „Wie können die es wagen?“

    • Wahrscheinlich geht es um „indiscriminate targeting“, also unterschiedsloses Anvisieren von Zielen.
      „China ist jetzt an einem Punkt, an dem selbst Menschen, die nicht in sensiblen Bereichen arbeiten, nicht mehr sicher sein können, kein Ziel zu sein“, sagte der stellvertretende FBI-Direktor für Cyber.

    • Ich wusste bisher gar nicht, dass es für Spione so etwas wie Normen oder ein Regelbuch geben soll.
      Ich dachte immer, die einzige Regel sei: Niemand darf erwischt werden.
      Vielleicht kenne ich mich da aber auch einfach nicht gut genug aus.

    • Am Ende sind das wohl nur weiche Regeln, die man sich im Kopf zurechtlegt.

  • Ich frage mich, ob es zu dieser Meldung neben der Regierung noch andere vertrauenswürdige Quellen gibt.
    Der Vorfall wirkt zwar durchaus plausibel, aber angesichts der langen Geschichte übermäßiger Lügen fällt es schwer, sich allein auf Regierungsangaben zu verlassen, und eine weniger parteiische Drittquelle wäre überzeugender.

    • Verizon sagt, es seien bestimmte Politiker gezielt ins Visier genommen worden.
      Zugehöriger Link

    • Ein Freund von mir aus der Security-Branche in Australien sagt, China habe ohnehin schon fast alles an US-Daten, was es geben kann.

  • Die US-Regierung wird die Überwachung auch künftig nur immer weiter ausbauen.

  • Laut dem Weißen Haus und dem FBI haben chinesische Hacker wahllos angegriffen, die Standorte von Millionen Mobiltelefonen verfolgt, den Internetverkehr überwacht und in einigen Fällen sogar Anrufe mitgeschnitten.
    Zu den Betroffenen gehörten auch Ex-Präsident Donald Trump und Vizepräsident JD Vance.
    Ich hatte mir vorgestellt, dass diese Überwachung durch direkte Verbindungen zu Mobilfunkmasten oder Infrastruktur erfolgt sei, aber laut Wikipedia scheint der eigentliche Weg über Server-Hacks geführt zu haben.
    Ich frage mich, ob etwa Server von AT&T kompromittiert wurden.
    Ich überlege, ob es in solchen Fällen überhaupt eine Möglichkeit gibt, meine Daten nicht verlieren zu müssen.
    Selbst mit einem VPN scheint es aussichtslos, wenn Standortdaten per Triangulation erfasst werden; außer das Handy komplett ausgeschaltet zu lassen, fällt mir kaum etwas ein.
    Quelle - Methodik von Salt Typhoon

    • Die einzige Möglichkeit, in so einem Fall weniger von meinen Daten preiszugeben, wäre wohl, die Telefonnummer nirgendwo zu verwenden und SIM-Karten nur für Daten zu konfigurieren und regelmäßig zu wechseln bzw. zu rotieren.

    • Da merkt man wieder, dass Regeln zu Datenverkauf und Datenbrokerage wie die DSGVO wenigstens die schlimmsten Auswüchse verhindern.
      Auch dieser Hack scheint letztlich auf Informationen aus der kompromittierten Seite zurückzugehen,
      aber der eigentliche strukturelle Fehler liegt darin, dass der Großteil dieser Daten ohnehin völlig legal auf einem nicht einmal grauen Markt gekauft werden kann.
      Irgendein Journalist hat sogar einmal öffentliche Standortdaten gekauft und damit Geheimdienstmitarbeiter aufgespürt.
      Selbst wenn weniger verkauft wird, bleibt das Problem bestehen, solange die Daten an Orten gespeichert werden, die sich am Ende doch leicht hacken lassen.

    • In dem Punkt, dass auch Präsident Trump und Vizepräsident JD Vance zu den Betroffenen zählten,
      hätte es etwas Witz gehabt, wenn der Reporter zusätzlich Angela Merkel um einen Kommentar gebeten hätte.

  • In diesem Zusammenhang gibt es auch einen Artikel darüber, dass Israel am Abhören von US-Telekommunikation beteiligt gewesen sein soll.
    Auch die israelische Regierung wäre demnach in der Lage, mit denselben Methoden wie China auf US-Netzwerke zuzugreifen.