15 Sicherheitsbehörden aus 9 Ländern haben gemeinsam eine ungewöhnlich detaillierte Warnung vor einer neuen Angriffsstrategie chinesischer Hackergruppen veröffentlicht. Das britische National Cyber Security Centre (NCSC) koordinierte das Advisory, das erstmals den systematischen Einsatz sogenannter "Covert Networks" durch staatlich gesteuerte Akteure beschreibt. Beteiligt sind unter anderem das FBI, die NSA, das deutsche BSI, BfV und BND sowie Behörden aus Australien, Kanada, Japan, den Niederlanden, Neuseeland, Spanien und Schweden.

SOHO-Router als Sprungbrett

Im Kern beschreiben die Behörden einen grundlegenden Strategiewechsel: China-nahe Hackergruppen greifen zunehmend nicht mehr auf eigene, fest zugeordnete Infrastruktur zurück, sondern kapern massenhaft fremde Geräte und nutzen diese als Sprungbrett. Konkret geht es um SOHO-Router, also die handelsüblichen Heimnetzwerkgeräte in Büros und Haushalten, aber auch um Webcams, Netzwerkspeicher und andere IoT-Geräte.

Das Netzwerk "Raptor Train", das der chinesischen Firma "Integrity Technology Group" zugeschrieben wird, hatte 2024 nachweislich mehr als 200.000 solcher Geräte weltweit infiziert. Ein weiteres bekanntes Botnetz, das sogenannte KV Botnet der Gruppe Volt Typhoon, bestand hauptsächlich aus kompromittierten Cisco- und Netgear-Routern, deren Hersteller keinen Support mehr leisteten.

Die Verschleierungswirkung dieser Netzwerke ist erheblich. Angreifer leiten ihren Datenverkehr über mehrere kompromittierte Geräte, sogenannte Traversal Nodes, und verlassen das Netzwerk über einen Exit Node, der sich möglichst nahe am geografischen Standort des Ziels befindet. Herkömmliche Abwehrmaßnahmen wie statische IP-Blocklisten laufen dabei weitgehend ins Leere – ein Phänomen, das Mandiant Intelligence bereits im Mai 2024 als "IOC Extinction" beschrieben hatte.

Riesiges Botnetz schwer zu greifen

Da ein einziges Botnetz potenziell Hunderttausende von Endpunkten umfasst und von mehreren Akteuren gleichzeitig genutzt werden kann, veralten klassische Indikatoren für eine Kompromittierung schnell. NCSC-Direktor Paul Chichester erklärte, Botnetze stellten "eine erhebliche Bedrohung für das Vereinigte Königreich dar, da sie Schwachstellen in alltäglichen internetfähigen Geräten ausnutzen und potenziell groß angelegte Cyberangriffe ermöglichen."

Die praktischen Schutzempfehlungen richten sich nach der Größe und dem Risikoprofil der jeweiligen Organisation. Alle Unternehmen sollen zunächst ihre Netzwerkinfrastruktur vollständig kartieren und normale Verbindungsmuster zu VPN-Zugängen dokumentieren. Wichtig ist außerdem die Einführung von Mehr-Faktor-Authentifizierung für alle Remote-Zugänge sowie der Einsatz dynamischer Bedrohungs-Feeds statt statischer Blocklisten.

IP-Allowlisten und Zero Trust

Größere Organisationen sollen darüber hinaus auf IP-Allowlisten statt auf Denylisten umsteigen, Zero-Trust-Prinzipien implementieren und Machine-Learning-Verfahren zur Erkennung anomaler Netzwerkaktivitäten einsetzen. Für Organisationen mit eigenen Advanced-Persistent-Threat-Kapazitäten empfehlen die Behörden zudem, bekannte Covert Networks aktiv zu verfolgen und deren Infrastruktur anhand von Zertifikaten und Bannern zu kartieren.

Das Advisory macht deutlich, dass die Bedrohung nicht auf einzelne Sektoren beschränkt ist. Sowohl kritische Infrastruktur als auch Behörden und Unternehmen stehen im Visier. Volt Typhoon nutzte seine kompromittierte Infrastruktur nachweislich für die Vorpositionierung offensiver Fähigkeiten in kritischen Versorgungsnetzen, während Flax Typhoon mit einem separaten Botnetz Cyberspionage betrieb.

Die internationale Koordination des Advisory, an der sich so viele Nachrichtendienste und Sicherheitsbehörden gleichzeitig beteiligen, ist ungewöhnlich und unterstreicht die Ernsthaftigkeit, mit der westliche Regierungen diese Bedrohung einschätzen.