Jun 11, 2024
Taiwan im Visier der Volksrepublik China
Forscher sagten gegenüber Tech Monitor, dass die Flax Typhoon-Kampagne eine Abkehr von Cyberspionage hin zu „Informationsoperationen“ zeige. Von Claudia Glover Beweise für eine Cyberspionagekampagne von Chinesen
Forscher sagten gegenüber Tech Monitor, dass die Flax Typhoon-Kampagne eine Abkehr von Cyberspionage hin zu „Informationsoperationen“ zeige.
Von Claudia Glover
Microsoft Threat Intelligence warnte, dass in Dutzenden von Organisationen in Taiwan Beweise für eine Cyberspionagekampagne der mit der chinesischen Regierung verbundenen Cyberkriminalitätsbande Flax Typhoon entdeckt wurden. Der Betrieb ist seit Mitte 2021 aktiv.
Microsoft warnte davor, dass Unternehmen auf die von Flax Typhoon verwendeten Techniken achten sollten, da Indikatoren für eine Kompromittierung durch die Cyberkriminelle in einem System so alltäglich seien, dass sie leicht übersehen werden könnten. Forscher haben außerdem festgestellt, dass die Flax Typhoon-Angriffe ein Bemühen um glaubwürdige Leugnung seitens staatlich unterstützter Cybergangs mit Verbindungen zur chinesischen Regierung zeigen und gleichzeitig eine Schwerpunktverlagerung von einfacher Cyberspionage hin zu komplexeren „Informationsoperationen“ zeigen.
Die Volksrepublik China auf dem Festland betrachtet Taiwan als abtrünnige Provinz und hat bereits in der Vergangenheit Cyberspionage- und DDoS-Kampagnen gegen den Inselstaat gestartet. Das Ziel der Kampagne von Flax Typhoon scheint laut Microsoft nicht nur darin zu bestehen, Zugang zu sensiblen Daten zu erhalten, sondern auch darin, „den Zugang zu Organisationen aus einem breiten Spektrum von Branchen so lange wie möglich aufrechtzuerhalten“.
Zu den Branchen, auf die Flax Typhoon abzielt, gehören die verarbeitende Industrie, das Bildungswesen, Informationstechnologieorganisationen und Regierungsbehörden in Taiwan. Microsoft weist außerdem darauf hin, dass Unternehmen in Nordamerika, Südostasien und Afrika ins Visier genommen wurden.
„Flax Typhoon erhält und erhält langfristigen Zugriff auf die Netzwerke taiwanesischer Organisationen mit minimalem Einsatz von Malware und verlässt sich dabei auf in das Betriebssystem integrierte Tools sowie einige normalerweise harmlose Software, um unbemerkt in diesen Netzwerken zu bleiben“, heißt es in dem Beitrag. „Microsoft hat nicht beobachtet, dass Flax Typhoon diesen Zugriff nutzt, um zusätzliche Aktionen durchzuführen.“
Das Unternehmen erklärte, dass es sich entschieden habe, diese Aktivität jetzt hervorzuheben, um seine Besorgnis über die möglichen weiteren Auswirkungen auf seine Kunden zum Ausdruck zu bringen. „Obwohl unsere Sichtbarkeit dieser Bedrohungen es uns ermöglicht hat, Erkennungen für unsere Kunden bereitzustellen, hat uns der Mangel an Sichtbarkeit in andere Teile der Aktivität des Akteurs dazu gezwungen, das Bewusstsein der breiteren Community für weitere Untersuchungen und Schutzmaßnahmen im gesamten Sicherheitsökosystem zu schärfen“, heißt es in dem Blog sagt.
Angriffe wie diese deuten auf eine Abkehr von der chinesischen Cyberspionage vergangener Jahre hin, erklärt Alan Liska, Leiter des Computer Emergency Response Teams beim Sicherheitsunternehmen Recorded Future. „Was wir sehen, ist eine Ausweitung der chinesischen Informationsoperationen, denn es gibt immer noch die traditionelle Spionage, aber man sieht auch die aggressivere Seite“, sagte er gegenüber Tech Monitor.
Dies gehe einher mit dem Versuch, die Techniken von Flax Typhoon glaubhaft zu leugnen, fährt er fort. „Wie Sie dem Bericht entnehmen können, verwenden sie viele handelsübliche Tools, die jeder Cyberkriminelle nutzen würde, was [der VR China] die Möglichkeit gibt, sich von diesen Angriffen einigermaßen zu distanzieren“, sagt Liska .
Die Nachricht über diese Kampagne folgt auf eine weitere chinesische Cyberkriminalitätsgruppe namens Volt Typhoon, die weltweit Alarm auslöste, als ihre Malware in verschiedenen Elementen der US-Militärinfrastruktur entdeckt wurde. Im Mai veröffentlichten Cybersicherheitsbehörden der Geheimdienstallianz Five Eyes außerdem eine Warnung, dass Volt Typhoon über längere Zeiträume unentdeckt in wichtigen Netzwerken laufen könnte.
Jen Easterly, derzeitige Leiterin der US-amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), bemerkte zum Volt-Typhoon-Angriff und anderen, dass dies auf eine Verlagerung von Chinas Cyber-Taktiken von Spionage hin zu Aggression hindeutet.
„Wir sprechen von jahrzehntelangem Diebstahl geistigen Eigentums und dem größten Transfer geistigen Reichtums seit Jahrzehnten“, sagte sie. Der aktuelle Fokus liege jedoch „weniger auf Spionage als vielmehr auf Störung und Zerstörung“, sagte sie den Delegierten beim Gipfeltreffen des Aspen Institute of Culture im Juni.
Das Auftauchen dieser Art von Bedrohung sei der Grund dafür, dass die Bündelung von Bedrohungsinformationen im Laufe des Jahres 2023 zugenommen habe, argumentiert Liska. „Wir sehen viel mehr dieser Art des Informationsaustauschs von Sicherheitsunternehmen und Unternehmen, die über eine Sicherheitskomponente verfügen“, sagt er. Es sei nicht länger akzeptabel, argumentiert Liska, neue Erkenntnisse über Gruppen wie Flax Typhoon oder Volt Typhoon hinter Paywalls zu verstecken. „Man muss diese Informationen öffentlich zugänglich machen, denn am Ende werden solche Angriffe uns allen schaden.“