Fachbeiträge

Neuigkeiten zu IT-Themen und Comp4U

Jetzt Kontakt aufnehmen!
Image

Alarmstufe Netz: SALT TYPHOON – Chinas Angriff auf die Telekommunikation

IT-Sicherheitsmeldungen

Es kommt selten vor, dass das Bundesamt für Verfassungsschutz (BfV) in einem internationalen Sicherheitshinweis neben NSA, CISA, FBI und BSI auftritt. Am 27. August 2025 war genau das der Fall: In einer gemeinsamen Cybersicherheitswarnung wurde vor der Angreifergruppe SALT TYPHOON gewarnt.

Die Gruppe ist kein neues Phänomen, sondern seit Jahren aktiv – bekannt unter Namen wie GhostEmperorFamousSparrow oder OPERATOR PANDA. Im Fokus stehen weltweit Telekommunikationsinfrastrukturen, also die Netze, die für Telefonie, Internet und mobile Kommunikation unverzichtbar sind.

Bereits in einer früheren i-soon-Analyse wurde aufgezeigt, dass von chinesischen Akteuren nicht nur Wirtschaftsspionage, sondern auch staatlich gesteuerte Operationen bis hin zu hybriden Szenarien ausgehen. Die aktuelle Warnung bestätigt diese Einschätzung eindrücklich.

Wer ist SALT TYPHOON?

  • Staatlich gestützter APT aus China, von Sicherheitsforschern unter verschiedenen Bezeichnungen verfolgt.
  • Primärziele: Telekommunikationsanbieter, Backbone- und Edge-Router, Interconnect-Infrastruktur.
  • Betroffene Länder: Mehr als 80 weltweit, darunter auch europäische Staaten.
  • Erbeutete Daten: Standort- und Verbindungsinformationen, Call Records und in Einzelfällen sogar Kommunikationsinhalte von Regierungs- und Behördenmitarbeitern. (BleepingComputer)

Vorgehensweise – in einfachen Worten

Die Behörde spricht von detaillierten „TTPs“ (Taktiken, Techniken, Verfahren). Vereinfacht zusammengefasst:

  1. Einstieg
    – Ausnutzung ungepatchter Systeme: u. a. Ivanti Connect SecureCisco IOS XEPalo Alto PAN-OSSophos FirewallFortinet und Microsoft Exchange.
  2. Verankerung
    – Manipulation von Router-Konfigurationen, Einrichtung zusätzlicher Zugänge (z. B. SSH auf ungewöhnlichen Ports), Aufbau verdeckter Datenkanäle.
  3. Dauerhafte Präsenz
    – Einsatz spezieller Schadsoftware wie GhostSpiderMASOL RATDemodex Rootkit oder SnappyBee (Deed RAT).
  4. Nutzung vorhandener Tools
    – „Living off the Land“: Administrationstools wie PowerShell, WMIC, PsExec werden genutzt, um nicht aufzufallen.
  5. Exfiltration & Spionage
    – Abgriff von Kommunikationsdaten, oft über Traffic-Spiegelungen oder verdeckte Tunnel.

Einschätzungen aus der Industrie

  • CISA Guidance: Die US-Behörde hat konkrete Handlungsempfehlungen veröffentlicht, darunter Patch-Listen, Hardening-Tipps und Monitoring-Hinweise.
  • Censys: Eine Analyse der Angriffsfläche zeigt, dass exponierte Geräte zurückgehen – 35 % weniger sichtbare Sophos Firewalls, gleichzeitig aber Zuwächse bei Cisco-Systemen.
  • Tenable & Armis: Beide Anbieter liefern detaillierte CVE-Übersichten und betonen Zero-Trust-Strategien sowie kontinuierliches Exposure-Management.
  • Sophos: In Berichten zu APT-Aktivitäten im „Pacific Rim“ wird hervorgehoben, dass chinesische Gruppen seit Jahren gezielt Telekommunikations- und Regierungsinfrastrukturen angreifen – oft mit Bootkits und speziellem Malware-Toolkit. (Sophos News)

Bedeutung für andere Branchen

Auch Unternehmen außerhalb der Telekommunikationswelt sind betroffen, wenn Edge-Geräte nicht ausreichend abgesichert sind. Schwachstellen in Firewalls, VPN-Gateways oder Router-Management-Interfaces bieten denselben Angriffsvektor wie bei Telcos.

Handlungsempfehlungen (kompakt)

  • Patching: Priorisierung der im Advisory genannten CVEs.
  • Zugangsschutz: Admin-Oberflächen niemals frei im Internet exponieren, stattdessen über VPN oder ZTNA.
  • Monitoring: Konfigurationsänderungen, neue Routen oder verdächtige Ports sofort prüfen.
  • Bedrohungssuche: Einsatz der im Advisory bereitgestellten YARA-Regeln, Snort-Signaturen und STIX-Daten.
  • Strategie: Aufbau von Zero-Trust-Architekturen und kontinuierlichem Exposure-Management.

Fazit

SALT TYPHOON ist kein „gewöhnlicher“ Hackerangriff, sondern ein Beispiel für staatlich gesteuerte Spionage gegen kritische Infrastruktur. Dass der Verfassungsschutz gemeinsam mit internationalen Partnern offiziell warnt, unterstreicht die Tragweite. Für Unternehmen bedeutet dies: Schwachstellen am Netzrand sind keine Lappalie, sondern ein direktes Sicherheitsrisiko.

Beratung & Absicherung & Unterstützung

Comp4U unterstützt bei der Risikobewertung, Härtung und Monitoring von Edge-Systemen nach den Vorgaben der aktuellen Advisories.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.
+49 6103 9707-500

Adresse

Comp4U GmbH
Robert-Bosch-Str. 5
63225 Langen

Kontakt

Fernwartung

Fernwartung für Windows
Fernwartung für Mac-OS