Thought Leadership
Die Cybersicherheitsbehörden Kanadas und der USA haben eine gemeinsame Warnung veröffentlicht: Eine chinesisch-staatlich unterstützte Hackergruppe mit dem Decknamen Salt Typhoon steht im Verdacht, gezielte Angriffe auf globale Telekommunikationsanbieter durchgeführt zu haben.
Dabei handelt es sich um eine koordinierte Spionagekampagne, deren Ausmaß noch nicht vollständig absehbar ist.
Im Fokus der Angreifer: Schwachstellen in der weit verbreiteten Netzwerksoftware Cisco IOS XE. Konkret nutzten sie die als kritisch eingestufte Sicherheitslücke CVE-2023-20198 (CVSS-Score 10.0), um Zugriff auf Konfigurationsdateien zu erlangen. Mindestens drei Netzwerkgeräte eines kanadischen Telekommunikationsanbieters waren im Februar 2025 betroffen.
Spionage durch Tunnel: Datenabgriff über modifizierte Netzwerkdateien
In mindestens einem Fall manipulierten die Angreifer die Konfigurationsdaten, um einen sogenannten Generic Routing Encapsulation (GRE) Tunnel zu aktivieren. Solche Tunnel ermöglichen es, Netzwerkverkehr unbemerkt umzuleiten und abzugreifen – ein beliebtes Mittel in der Cyberspionage. Der Name des betroffenen Unternehmens wurde nicht bekannt gegeben.
Laut der gemeinsamen Einschätzung der Behörden ist davon auszugehen, dass sich die Aktivitäten der Angreifer nicht ausschließlich auf den Telekommunikationssektor beschränken. Die kompromittierten Systeme könnten als Sprungbrett für weitere Angriffe auf andere Netzwerke dienen.
Insbesondere Geräte am Netzwerkrand – wie Router oder Firewalls – gelten als attraktives Ziel für staatlich gesteuerte Hackergruppen. Die Angriffe zielen nicht nur auf einmaligen Zugriff, sondern auf langfristige Präsenz innerhalb der Systeme. Frühere Untersuchungen der Firma Recorded Future bestätigen diese Taktik: Auch dort wurde dokumentiert, wie durch die Kombination mehrerer Schwachstellen – darunter CVE-2023-20273 – dauerhaft Daten exfiltriert und Tunnel eingerichtet wurden. Betroffen waren nicht nur Unternehmen in Nordamerika, sondern auch in Südafrika und Italien.
Neue Schadsoftware entdeckt: Fokus auf Fortinet-Geräte
Parallel zu diesen Enthüllungen warnte das britische National Cyber Security Centre (NCSC) vor zwei neu entdeckten Malware-Familien, die gezielt auf Geräte des Herstellers Fortinet abzielen – insbesondere Firewalls der Serie FortiGate 100D. Die Schadprogramme tragen die Codenamen SHOE RACK und UMBRELLA STAND.
- SHOE RACK dient der nachträglichen Kompromittierung und ermöglicht unter anderem Fernzugriff sowie das Tunneln von Datenströmen.
- UMBRELLA STAND erlaubt das Ausführen von Befehlen, die von einem extern kontrollierten Server stammen.
Auffällig ist, dass SHOE RACK auf öffentlich verfügbarem Code basiert – insbesondere einem Tool namens reverse_shell. Diese Grundlage wurde offenbar auch von einer anderen chinesisch-nahen Hackergruppe namens PurpleHaze zur Entwicklung eines Windows-Schadprogramms namens GoReShell verwendet.
Ob es direkte Verbindungen zwischen den verschiedenen Gruppen oder ihren Angriffskampagnen gibt, ist bislang unklar. Dennoch zeigen die Ähnlichkeiten zwischen UMBRELLA STAND und früher identifizierten Tools wie COATHANGER, das bei einem Angriff auf das niederländische Militär eingesetzt wurde, deutliche Muster staatlich gelenkter Spionageaktivitäten.
Die jüngsten Enthüllungen verdeutlichen, wie konsequent und strategisch staatlich unterstützte Hackergruppen vorgehen, um sich Zugriff auf kritische Infrastruktur zu verschaffen. Die Angriffe auf Netzwerkgeräte großer Anbieter sind kein Einzelfall – und zeigen einmal mehr die Notwendigkeit, Schwachstellen zügig zu schließen und Schutzmechanismen zu modernisieren.
