Einführung
Am 24. Mai 2023 gab Microsoft bekannt, dass es "heimliche und gezielte bösartige Aktivitäten" entdeckt hat, die sich auf die kritische Kommunikationsinfrastruktur der USA und Guam konzentrieren. Die Angriffe werden einem vom chinesischen Staat gesponserten Akteur mit dem Namen Volt Typhoon zugeschrieben, der seit Mitte 2021 aktiv ist.
Eine der Haupttechniken von Volt Typhoon ist die Nutzung von Tools und Diensten, die bereits in der gefährdeten Umgebung vorhanden sind. Dadurch können sie die Erkennung effektiver umgehen und ihre Verweildauer in der Umgebung verlängern.
Volt Typhoon nutzt kompromittierte SOHO-Netzwerkgeräte (Small Office und Home Office), wie z. B. Router, um den Datenverkehr der Angreifer an ihre Ziele weiterzuleiten. Auch hier liegt der Schwerpunkt darauf, eine Entdeckung zu vermeiden, indem der Datenverkehr über diese Geräte in Privathaushalten und kleinen Büros abgewickelt wird, so dass er sich leichter in die typischen Netzwerkaktivitäten einfügen kann. Die beobachteten betroffenen Geräte scheinen SSH- oder HTTP-Verbindungen zum Internet zu haben.
Microsoft und ein Joint Cybersecurity Advisory der NSA und anderer Organisationen haben SOHO-Geräte beschrieben, die in diese Angriffe verwickelt waren, darunter Geräte von Cisco, Draytek, FatPipe, Netgear Prosafe und Zyxel. Im Folgenden untersuchen wir die Internetpräsenz dieser Geräte, die auch über HTTP oder SSH mit dem Internet verbunden sind.
Schlussfolgerung
Da mehr als eine halbe Million Netzwerkgeräte in kleinen Büros oder Heimbüros über HTTP oder SSH mit dem Internet verbunden sind, bieten sich Bedrohungsakteuren wie Volt Typhoon zahlreiche Möglichkeiten, diese Geräte für schändliche Zwecke auszunutzen.
Wenn Sie ein SOHO-Gerät betreiben, stellen Sie sicher, dass die administrative Anmeldung und die Steuerelemente nicht über das öffentliche Internet zugänglich sind. Überprüfen Sie auf me.censys.io, ob Ihr Router unerwartete Dienste für das öffentliche Internet bereitstellt.
