Cyberaanvallen die verband houden met de Chinese overheid en die grote delen van het Amerikaanse telecommunicatienetwerk in gevaar hebben gebracht, zorgen ervoor dat de Amerikaanse regering alarm slaat. De voorzitter van de inlichtingencommissie van de Senaat, senator Mark Warner (D-VA), noemde het de “ergste telecomhack in de geschiedenis van ons land‚ en merkte op dat eerdere cyberaanvallen door Russische agenten eruitzien als ‚kinderspelTer vergelijking.
De complexe cyberaanval wordt uitgevoerd door een groep Chinese hackers genaamd Zouttyfoonbegon al in 2022. Het doel ervan was, volgens Amerikaanse functionarissen, om Chinese agenten blijvende toegang te geven tot telecommunicatienetwerken in de VS door apparaten zoals routers en switches van bedrijven als AT&T, Verizon, Lumen en anderen in gevaar te brengen.
Deze aanval volgt op berichten dat de FBI en de Cybersecurity and Infrastructure Security Agency telefoonbedrijven hielpen bij het tegengaan van andere met China verbonden compromitteringen van hun netwerken. De eerdere hacking maakte deel uit van een aanval gericht op mensen in de omgeving van Washington overheids- of politieke rolleninclusief kandidaten voor de presidentsverkiezingen van 2024.
Maar Salt Typhoon richt zich niet alleen op Amerikanen. Uit onderzoek van beveiligingsleverancier Trend Micro blijkt dat aanvallen door Salt Typhoon andere kritieke infrastructuur in gevaar gebracht over de hele wereld de afgelopen jaren. Amerikaanse functionarissen hebben bevestigd deze bevindingen ook – en hun bezorgdheid is opmerkelijk.
Chinese functionarissen hebben dat gedaan ontkende de beschuldigingen dat zij achter deze operatie zitten, zoals zij hebben gedaan naar aanleiding van beschuldigingen over eerdere cyberaanvallen.
Als een onderzoeker op het gebied van cyberveiligheidIk vind deze aanval inderdaad adembenemend qua omvang en ernst. Maar het is niet verrassend dat een dergelijk incident plaatsvond. Veel organisaties van elke omvang slagen er nog steeds niet in dit voorbeeld te volgen goede cyberbeveiligingspraktijkenover beperkte middelen beschikken of over IT-infrastructuren beschikken die te complex zijn om effectief te kunnen monitoren, beheren en beveiligen.
Hoe erg is het?
Salt Typhoon maakte misbruik van technische kwetsbaarheden in sommige van de cyberbeveiligingsproducten zoals firewalls die worden gebruikt om grote organisaties te beschermen. Eenmaal binnen het netwerk gebruikten de aanvallers meer conventionele tools en kennis om hun bereik uit te breiden, informatie te verzamelen, verborgen te blijven en malware in te zetten voor later gebruik.
Volgens de FBI zorgde Salt Typhoon ervoor dat Chinese functionarissen een grote hoeveelheid gegevens konden verkrijgen waaruit bleek waar, wanneer en met wie specifieke personen communiceerden. In sommige gevallen merkten ze op dat Salt Typhoon ook toegang gaf tot de inhoud van telefoongesprekken en sms-berichten.
‚PBS News Hour‘ bericht over updates vanuit het Witte Huis over Zouttyfoon.
Zouttyfoon bracht ook de situatie in gevaar particuliere portalenof achterdeurtjes, die telefoonbedrijven aan wetshandhavingsinstanties verstrekken om op bevel van de rechtbank te verzoeken om toezicht op telefoonnummers op grond van onderzoeken. Dit is ook hetzelfde portaal dat door de Amerikaanse inlichtingendiensten wordt gebruikt om buitenlandse doelen in de Verenigde Staten in de gaten te houden.
Als gevolg hiervan hebben de Salt Typhoon-aanvallers mogelijk informatie verkregen over welke Chinese spionnen en informanten door de contraspionagediensten in de gaten werden gehouden – kennis die deze doelen kan helpen dergelijke surveillance te ontwijken.
Op 3 december hebben de Cybersecurity and Infrastructure Security Agency, de National Security Agency en de FBI, samen met hun tegenhangers in Australië, Nieuw-Zeeland en Canada, richtlijnen vrijgegeven aan het publiek over hoe de Salt Typhoon-aanval moet worden aangepakt. Hun Verbeterde zichtbaarheid en verhardingsrichtlijnen voor de communicatie-infrastructuur gids herhaalt in wezen de beste cyberbeveiligingspraktijken voor organisaties die de impact van Salt Typhoon of toekomstige copycat-aanvallen kunnen helpen verzachten.
Het bevat echter wel aanbevelingen om specifieke telecommunicatieapparatuur te beschermen voor sommige van de Cisco-producten die het doelwit waren van deze aanval.
Op het moment van schrijven zijn Amerikaanse functionarissen en getroffen bedrijven er nog niet in geslaagd de omvang, diepte en ernst van de aanval volledig vast te stellen – of de aanvallers uit gecompromitteerde systemen te verwijderen – ook al is deze aanval al maanden aan de gang.
Wat kan er gedaan worden?
Amerikaanse functionarissen hebben gezegd dat de vele manieren waarop Salt Typhoon zijn doelwitten binnendrong, via een methode waren bestaande zwakheden in de infrastructuur. Zoals ik eerder geschrevenHet niet implementeren van de beste best practices op het gebied van cyberbeveiliging kan leiden tot slopende incidenten voor organisaties van elke omvang. Gezien hoe afhankelijk de wereld is van genetwerkte informatiesystemen, is het belangrijker dan ooit om cyberbeveiligingsprogramma’s in stand te houden die het moeilijk maken om aanvallen te laten slagen, vooral voor kritieke infrastructuur zoals het telefoonnetwerk.
Naast het volgen van de richtlijnen voor beste praktijken die eerder deze week door de Cybersecurity and Infrastructure Security Agency zijn uitgegeven, moeten organisaties waakzaam blijven. Ze moeten niet alleen het nieuws in de gaten houden voor informatie over deze aanval, maar ook de verschillende gratis, propriëtaire of particuliere dreigingsinformatiefeeds en informele professionele netwerken om op de hoogte te blijven van de tactieken en technieken van aanvallers – en manieren om deze tegen te gaan.
Bedrijven en overheden moeten er ook voor zorgen dat hun IT-afdelingen en cyberbeveiligingsprogramma’s voldoende bemand en gefinancierd zijn om aan hun behoeften te voldoen en ervoor te zorgen dat best practices worden geïmplementeerd. De Federal Communications Commission is dat al bedreigen bedrijven met boetes omdat ze er niet in zijn geslaagd hun verdediging tegen Chinese hacking te versterken.
Hoewel illegaal toezicht zorgwekkend is, hoeft de gemiddelde Amerikaan zich waarschijnlijk weinig zorgen te maken over Salt Typhoon. Het is onwaarschijnlijk dat uw familietelefoontjes of sms-berichten naar vrienden van belang zijn voor de Chinese overheid. Als u echter uw veiligheid en privacy een beetje wilt vergroten, overweeg dan om end-to-end gecodeerde berichtenservices zoals Signal, FaceTime of Berichten te gebruiken.
Zorg er ook voor dat u geen standaardwachtwoorden of gemakkelijk te raden wachtwoorden gebruikt op uw apparaten, inclusief uw thuisrouter. En overweeg het gebruik van tweefactorauthenticatie om de beveiliging van kritieke internetaccounts verder te versterken.
Achterdeurtjes en slechteriken
Verloren in het lawaai van het verhaal is dat Salt Typhoon heeft bewezen dat de decennia van waarschuwingen door de internetbeveiligingsgemeenschap correct waren. Het is waarschijnlijk dat geen enkele verplichte geheime of bedrijfseigen toegang tot technologieproducten onontdekt zal blijven of alleen door “de goeden” zal worden gebruikt – en pogingen om deze te eisen zullen waarschijnlijk averechts werken.
Het is dus enigszins ironisch dat een van de door de overheid aanbevolen tegenmaatregelen ter bescherming tegen spionage door Salt Typhoon het gebruik van sterk gecodeerde diensten voor telefoongesprekken en sms-berichten is – de encryptiemogelijkheden waarover zij beschikt. tientallen jaren doorgebracht proberen te ondermijnen, zodat alleen ‘de goeden’ er gebruik van kunnen maken.
Dit artikel is oorspronkelijk gepubliceerd op Het gesprek door Richard Forno aan de Universiteit van Maryland. Lees de origineel artikel hier.