Neue Erkenntnisse zur Cyberspionage-Kampagne Salt Typhoon von Cisco

Chinesische Cyberspionage-Kampagne „Salt Typhoon“ – Cisco veröffentlicht weitere Details

Cisco hat weitere Informationen über die groß angelegte Cyberspionage-Kampagne namens „Salt Typhoon“ veröffentlicht, die mehrere Telekommunikationsanbieter kompromittiert hat. Die mutmaßlich von Peking gesteuerte Gruppe zeigt hochentwickelte Fähigkeiten, darunter langfristige Persistenz in kompromittierten Systemen und die umfassende Exfiltration sensibler Daten. Cisco Talos, die Forschungseinheit von Cisco, verfolgt diese Operation, die erstmals Ende 2024 gemeldet und später von US-Behörden bestätigt wurde, genau.

Infiltration von Kernnetzwerken und Nutzung von „Living-off-the-Land“-Techniken

Cisco Talos enthüllte, dass es Salt Typhoon gelungen ist, in die Kernnetzwerke mehrerer Telekommunikationsunternehmen einzudringen. Dabei wurden Sicherheitslücken ausgenutzt und Anmeldeinformationen missbraucht, um über Jahre hinweg verdeckten Zugriff zu erhalten. Die Raffinesse und der Fokus von Salt Typhoon deuten nach Ansicht von Cisco Talos auf die Beteiligung einer staatlich gesponserten Advanced Persistent Threat (APT)-Gruppe hin. Die gezielte Natur der Kampagne, ihre umfassende Planung und die technische Ausführung entsprechen den Merkmalen staatlicher Cyberoperationen.

Ein charakteristisches Merkmal der Kampagne ist der umfassende Einsatz von „Living-off-the-Land“ (LOTL)-Techniken. Anstatt auf eigene Malware zurückzugreifen, nutzten die Angreifer vorhandene Funktionen und administrative Tools innerhalb der kompromittierten Umgebungen, um eine Entdeckung zu vermeiden. Durch die Nutzung von Tools, die in Netzwerkgeräten vorhanden sind oder dort platziert wurden, konnte Salt Typhoon über einen längeren Zeitraum unentdeckt bleiben – Cisco deckte einen Fall auf, in dem der Zugriff über drei Jahre hinweg aufrechterhalten wurde.

Kompromittierung von Zugangsdaten und Ausweitung des Zugriffs

Obwohl es Hinweise darauf gibt, dass in einem Fall eine ältere Cisco-Sicherheitslücke (CVE-2018-0171) ausgenutzt wurde, erfolgte die Mehrzahl der Einbrüche mithilfe legitimer Anmeldeinformationen, die von den Opfern gestohlen wurden. Weiterer Zugriff wurde durch das Sammeln neuer Anmeldeinformationen über kompromittierte Geräte, schwache Passwortverschlüsselungsmethoden und das Abfangen von Netzwerkverkehr wie SNMP, TACACS und RADIUS erlangt.

Die Angreifer priorisierten die Erfassung von Anmeldeinformationen und Authentifizierungsdaten, die in den Konfigurationen der Geräte gespeichert waren, wie z. B. SNMP-Community-Strings. Schwachstellen in der Verschlüsselung wurden ausgenutzt, so dass die Angreifer Passwörter offline leicht entschlüsseln konnten. Darüber hinaus wurden Tools zur Verkehrserfassung wie *tcpdump* und Cisco-spezifische Befehle wie *tpacap* verwendet, um sensible Daten zu überwachen und Sicherheitsschlüssel zu entdecken.

Exfiltration von Konfigurationen und Infrastruktur-Pivoting

In zahlreichen Fällen exfiltrierten die Angreifer Netzwerkkonfigurationen über TFTP oder FTP. Diese Dateien enthielten oft Authentifizierungsmaterial und einen detaillierten Bauplan des kompromittierten Netzwerks, was weitere Aufklärung und laterale Bewegungen ermöglichte. Salt Typhoon „sprang“ geschickt zwischen kompromittierten Geräten hin und her, minimierte verdächtige Aktivitäten und nutzte vertrauenswürdige Quellen, um ihre Operationen auszuführen. In einigen Szenarien wurden kompromittierte Geräte innerhalb eines Telekommunikationsunternehmens als Gateways für Angriffe auf Systeme in einem anderen Telekommunikationsunternehmen verwendet, was die Vernetzung dieser Netzwerke unterstreicht.

Fortgeschrittene Techniken und Verteidigungsstrategien

Salt Typhoon demonstrierte ein robustes Arsenal an fortgeschrittenen Techniken, die es ihnen ermöglichten, unentdeckt zu bleiben und sich tief in den Zielnetzwerken zu verankern. Dazu gehörten Modifikationen von Geräten und Konfigurationen, Paketaufnahmetechniken mit Tools wie *tcpdump* und dem eigens entwickelten Tool JumbledPath sowie ausgeklügelte Strategien zur Verteidigungsumgehung, wie das Löschen von Protokolldateien und das Ändern von Gerätezuständen.

Empfehlungen zur Schadensbegrenzung

Angesichts eines so raffinierten Gegners wie Salt Typhoon unterstreicht Cisco die Notwendigkeit strenger Sicherheitspraktiken für die Verteidiger von Netzwerkinfrastrukturen und empfiehlt sowohl Cisco-spezifische als auch allgemeine Maßnahmen. Dazu gehören die Deaktivierung älterer Funktionen und nicht verwendeter Dienste, die Stärkung der Passwortverschlüsselung, die Einschränkung des Zugriffs auf die Guest Shell, regelmäßige Patches von Geräten, die Einführung strenger Zugriffskontrollen, die Implementierung einer umfassenden Überwachung und die zentrale Speicherung von Konfigurationen.

Die Salt-Typhoon-Kampagne ist eine ernste Erinnerung an die anhaltenden und sich entwickelnden Bedrohungen, denen Anbieter kritischer Infrastrukturen ausgesetzt sind. Während Telekommunikationsunternehmen in diesem Fall im Mittelpunkt standen, unterstreichen diese Erkenntnisse die Schwachstellen, denen Unternehmen in allen Sektoren ausgesetzt sind. Robuste Segmentierung, Geräte-Patching, Anmeldeinformationshygiene und detaillierte Protokollierung sind entscheidend, um ähnliche Sicherheitsverletzungen in Zukunft zu verhindern.

Bibliography: https://www.telecomstechnews.com/news/cisco-further-exposes-salt-typhoon-intrusions-of-telecoms-networks/ https://www.cybersecuritydive.com/news/cisco-salt-typhoon-used-new-custom-malware-in-telecom-attacks/740629/ https://thehackernews.com/2025/02/cisco-confirms-salt-typhoon-exploited.html https://www.ccn.com/news/technology/salt-typhoon-hacks-cisco-cyber-intrusion/ https://www.secureworld.io/industry-news/salt-typhoon-espionage-cisco-routers https://www.securityweek.com/cisco-details-salt-typhoon-network-hopping-credential-theft-tactics/ https://www.techtarget.com/searchsecurity/news/366619108/Salt-Typhoon-compromises-telecom-providers-Cisco-devices https://www.infosecurity-magazine.com/news/salt-typhoon-cisco-custom-tool/ https://blog.talosintelligence.com/salt-typhoon-analysis/ https://cyberscoop.com/salt-typhoon-china-ongoing-telecom-attack-spree/