Kurz vor Ende des Jahres 2024 veröffentlichten die Cybersecurity and Infrastructure Security Agency (CISA), das FBI, die National Security Agency und Partnerbehörden in Neuseeland, Australien und Kanada eine gemeinsame Erklärung, in der sie davor warnten, dass Salt Typhoon, eine chinesische APT-Gruppe, große globale Telekommunikationsanbieter ins Visier genommen hat. Es wird angenommen, dass bis zu 80 Telekommunikationsunternehmen und Internetdienstleister, darunter AT&T, Verizon und T-Mobile, von dem Hack betroffen waren.
Laut hochrangigen FBI-Beamten, die anonym mit Politico sprachen, wurde die private Kommunikation einer "kleinen Anzahl von politischen oder regierungsnahen Personen, die alle von den Behörden benachrichtigt wurden, kompromittiert", darunter auch die Telefone von Donald Trump und JD Vance vor der Wahl. Folglich hat der Vorsitzende des Geheimdienstausschusses des Senats, Mark Warner (D-Va.), diesen schwerwiegenden Vorfall als die "schwerwiegendste Verletzung in unserer Geschichte" bezeichnet.
Cybersecurity-Risiken in der Telekommunikationsbranche
Telekommunikationsnetze sind vorrangige und folgenschwere Ziele für Cyberangriffe. Laut dem Microsoft Digital Defense Report sind die Cyberangriffe auf kritische Telekommunikationsinfrastrukturen innerhalb von zwei Jahren um 40 % gestiegen. Nach den Salt-Taifun-Angriffen stellte ein hochrangiger Regierungsbeamter im Weißen Haus fest, dass die Telekommunikationsbranche "im Visier nationalstaatlicher Programme steht", wobei die Risiken von Überwachung und Spionage bis hin zu potenziellen Störungen in Krisen- oder Konfliktzeiten reichen.
Die Ziele und Taktiken von Telekommunikationsangriffen sind unterschiedlich, aber die Auswirkungen sind unabhängig von den Motiven potenziell katastrophal.
Überwachung
Die Salt Typhoon-Angriffe sind ein alarmierendes Beispiel für staatlich gesponserte Angriffe zur Sammlung von Geheimdienstdaten. Die Kampagne dauerte über zwei Jahre, und die Sicherheitsbehörden gehen davon aus, dass die Bedrohungsakteure immer noch Zugang zu diesen kompromittierten Systemen haben. Die Bedrohung von Telekommunikationsanbietern hat das Gewicht einer Bedrohung der nationalen Sicherheit und birgt Risiken für geistiges Eigentum, Handelsabkommen und mehr.
"Die Kommunikation von US-Regierungsbeamten läuft über diese privaten Systeme, weshalb die Chinesen in der Lage waren, auf die Kommunikation einiger hochrangiger US-Regierungs- und Politikbeamter zuzugreifen. Solange die US-Unternehmen die Lücken in der Cybersicherheit nicht schließen, werden die Chinesen wahrscheinlich ihren Zugang behalten." - Anne Neuberger, Stellvertretende Nationale Sicherheitsberaterin für Cyber und neue Technologien
Unterbrechung der Infrastruktur
Die Angriffe staatlicher Akteure beschränken sich nicht auf Aufklärung und Spionage. Böswillige Akteure können potenziell auch physische Elemente kontrollieren, die sich auf kritische Infrastrukturen auswirken und Ergebnisse manipulieren können. Ein DDoS-Angriff auf nordamerikanische Telekommunikationsbetreiber führte zu Unterbrechungen der Mobiltelefonie in fast einem Dutzend Städten, darunter Chicago, Los Angles, New York und Houston. Ein längerer Kommunikationsausfall in Großstädten birgt katastrophale Risiken für die öffentliche Sicherheit und kritische Dienste: Notfallsysteme könnten ausfallen, lebensrettende medizinische Geräte könnten ihre Verbindung verlieren und wichtige städtische Infrastrukturen, die von 5G-Netzwerken abhängen, könnten zum Stillstand kommen.
Im Jahr 2023 gelang es russischen Hackern, in den ukrainischen Telekommunikationsbetreiber Kyivstar einzudringen und die Dienste für über 48 Stunden lahmzulegen. Nach Angaben von Reuters waren über 24 Millionen Kunden mehrere Tage lang ohne Mobilfunkdienste. Durch den Ausfall der Dienste wurden auch andere wichtige Dienste wie Luftschutzsirenen, einige Bankdienste, Geldautomaten und Kassenterminals lahmgelegt. Die Angreifer hätten auch Zugang zu den Ortungsdiensten gehabt, so dass sie den Standort des Geräts hätten verfolgen können.
Daten
Daten sind eine Währung, und Telekommunikationsanbieter sind zu Verwaltern des digitalen Fußabdrucks der Menschheit geworden. Telekommunikationsunternehmen senden und speichern Daten für Milliarden von Menschen und Millionen von Organisationen auf der ganzen Welt, und die Datenexfiltration ist ein gefundenes Fressen für Cyber-Kriminelle. Die bei einigen Angriffen auf Telekommunikationsunternehmen erbeuteten Daten gehen jedoch über den reinen Verkauf von Informationen im Dark Web hinaus, wie ein Datenschutzverstoß bei Mint Mobile im Jahr 2023 gezeigt hat.
Die bei diesem Angriff offengelegten Daten enthielten SIM- und IMEI-Nummern (International Mobile Equipment Identity), die es einem Angreifer ermöglichen würden, SIM-Swapping-Angriffe durchzuführen, bei denen er die Nummer einer Person auf sein eigenes Gerät portiert. Sobald sie Zugriff auf die Nummer haben, können sie versuchen, Benutzerkonten zu infiltrieren, indem sie Passwörter zurücksetzen und auf die OTP-Textcodes für die Multi-Faktor-Authentifizierung zugreifen. BleepingComputer merkt an: "Bedrohungsakteure verwenden diese Technik häufig, um in Konten bei Kryptowährungsbörsen einzudringen und alle in der Online-Geldbörse gespeicherten Vermögenswerte zu stehlen."
Die Bedrohungslage ist beängstigend, doch die Telekommunikationsanbieter wehren sich mit innovativen Sicherheitsansätzen. Die Erfahrung von NOS, einem führenden portugiesischen Telekommunikationsanbieter, zeigt, wie moderne Sicherheitslösungen kritische Infrastrukturen in großem Umfang wirksam schützen können.
NOS und Censys: Ein praktisches Beispiel für die Sicherung der Telekommunikationsinfrastruktur
NOS ist ein führender portugiesischer Telekommunikations- und Technologieanbieter, der etwa 2 Millionen registrierte IP-Adressen verwaltet, von denen viele mit kritischer Infrastruktur verbunden sind. Das Unternehmen wandte sich an Censys , weil es eine Möglichkeit suchte, seine Sicherheitslage zu verbessern und seine Marke zu schützen.
Die Umgebung von NOS umfasst Cloud-Dienste, IoT-Systeme und eine aufstrebende 5G-Infrastruktur. Daher ist es von entscheidender Bedeutung, unbekannte Schwachstellen zu identifizieren und risikoreiche Schwachstellen zu priorisieren. Vorhandene Sicherheitstools erzeugten eine Vielzahl von Warnmeldungen und Fehlalarmen, sodass kritische Risiken unbehandelt blieben. Das Unternehmen benötigte eine zentralisierte Lösung, um das Rauschen zu durchbrechen und Abhilfemaßnahmen in Echtzeit zu steuern.
Censys ermöglichte es NOS, interne, cloudbasierte und kundenorientierte Assets zu aggregieren und zu analysieren, was die Erkennung von Bedrohungen, die Reaktion darauf und die allgemeine Cyber-Risikostellung erheblich verbesserte. Durch die umfassende Einsicht in alle mit dem Internet verbundenen Ressourcen und die Möglichkeit, die Infrastruktur von Bedrohungsakteuren zu untersuchen, um die Gefährdung zu minimieren, ist das Unternehmen in der Lage, die Risiken in seinem gesamten Ökosystem zu minimieren und sich vor neuen Bedrohungen zu schützen.
"Mit Censys bewerten wir die Risiken innerhalb unserer Domäne und darüber hinaus, indem wir unsere Partnerschaften und öffentlichen Cloud-Umgebungen absichern. " - Diogo Gonçalves, Leiter des Cyber Defense Teams, NOS
Lesen Sie die ganze NOS-Geschichte hier um mehr Details darüber zu erfahren, wie Censys dabei hilft, Sicherheitsherausforderungen in der Telekommunikationsbranche zu lösen.
