Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Chinesische Gruppierung greift verschiedene Branchen an

- Warnmeldung

In einem gemeinsamen Sicherheitshinweis weisen deutsche und internationale Behörden auf die Vorgehensweise des Cyber-Akteurs Salt Typhoon hin. Hauptziel ist demnach die Telekommunikationsbranche. Eine ausführliche Beschreibung von Gegenmaßnahmen und Hinweise zur Überprüfung auf einen möglichen Angriff sind wesentlicher Bestandteil des Sicherheitshinweises.
Wand im BSI-IT-Lagezentrum mit BSI-Logo

© BSI

Verfügbare Präventivmaßnahmen

Dem internationalen Sicherheitshinweis zufolge ist Salt Typhoon eine staatlich finanzierte chinesische Cyber-Gruppierung. Sie sei weltweit aktiv und greife überwiegend, aber nicht ausschließlich folgende Branchen an:

  • Telekommunikation
  • Behörden
  • Transport und Logistik
  • Hotelgewerbe
  • Militär

Der Sicherheitshinweis beschreibt Vorgehensweisen der Gruppierung, deren Hauptaugenmerk auf der Netzwerk-Infrastruktur der Angriffsziele liegt. Dabei versuchen die Angreifenden, sich dauerhaft einzurichten und diese Persistenz zu verschleiern. Ziel ist eine möglichst weite Ausbreitung im Netzwerk.

Erfolgreiche Attacken gegen Einrichtungen in Deutschland sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zwar bislang nicht bekannt, können jedoch für die Zukunft nicht ausgeschlossen werden. Die beschriebenen Empfehlungen sollten ernst genommen werden, weil sie präventiv wirken können.

Alternative Namen

Salt Typhoon ist auch unter folgenden Namen bekannt, wobei die Schreibweisen teilweise variieren:

  • Ghost Emperor
  • FamousSparrow
  • UNC2286
  • Earth Estrie
  • OPERATOR PANDA
  • RedMike
  • UNC5807

Empfehlungen

Beachten Sie folgende wesentliche Empfehlungen aus dem Sicherheitshinweis:

  • Überprüfen Sie die Firewall-Regeln auf eine etwaige Manipulation.
  • Ergänzen Sie die Firewall-Regeln mit den IP-Adressen, die im Sicherheitshinweis genannt sind.
  • Überprüfen Sie die IT-Systeme, ob sie von den genannten Schwachstellen (CVEs) betroffen sind.
  • Spielen Sie die Patches betroffener Systeme ein.
  • Verwenden Sie die Kompromittierungsindikatoren (IoC: Indicator of Compromise) aus dem Sicherheitshinweis, um zu prüfen, ob Ihre IT-Systeme angegriffen wurden.
  • Prüfen Sie entsprechende Log-Einträge auf Anzeichen einer Kompromittierung.
  • Überprüfen Sie regelmäßig die Systemeinstellungen von Netzwerkkomponenten auf eine etwaige Manipulation.

Weitere, ausführlichere Empfehlungen finden Sie im Sicherheitshinweis (siehe Link unten). Beachten Sie dort auch die beschriebenen Taktiken und Techniken (Anhang A), die Liste der ausgenutzten Schwachstellen (Anhang B) sowie die Liste der Gegenmaßnahmen (Anhang C).

Weitere Informationen