{"id":886,"date":"2024-11-19T14:21:41","date_gmt":"2024-11-19T14:21:41","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=886"},"modified":"2024-11-19T14:21:41","modified_gmt":"2024-11-19T14:21:41","slug":"t-mobile-us-von-china-gehackt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=886","title":{"rendered":"T-Mobile US von China gehackt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Erst hat die chinesische Hackergruppe Salt Typhoon Trumps Handy gehackt und jetzt T-Mobile USA.<\/p>\n

Chebakalex7\/shutterstock.com<\/p>\n<\/div>\n

Die Zahl der Cyberangriffe<\/a>, insbesondere von staatlicher Seite<\/a>, nimmt immer<\/a> weiter zu. Jetzt hat es den zweitgr\u00f6\u00dften Mobilfunkanbieter der USA erwischt: die Telekom-Tochter T-Mobile US. Das Unternehmen hat bereits best\u00e4tigt, dass es Opfer einer monatelangen Cyberspionage-Kampagne durch chinesische Angreifer geworden ist. Die Hacker konnten als Salt Typhoon<\/a> identifiziert werden, wobei diese Gruppe auch als Earth Estries, FamousSparrow, GhostEmperor und UNC2286 bekannt ist. Schlagzeilen<\/a> machte die Gruppe vor kurzem, als sie im US-amerikanischen Wahlkampf die Mobiltelefone von Donald Trump und JD Vance hackte.<\/p>\n

T-Mobile US war jedoch nicht das einzige Opfer der Chinesen: So waren auch andere Telekommunikationsanbieter wie AT&T, Verizon und Lumen Technologies betroffen. Die Angreifer kompromittierten Netzwerke, um<\/p>\n

Kundendaten zu stehlen,<\/p>\n

private Kommunikation politischer oder staatlicher Personen zu \u00fcberwachen und<\/p>\n

Ermittlungsdaten der US-Regierung zu kopieren.<\/p>\n

Es ist unklar, ob sensible Informationen bei T-Mobile gestohlen wurden. Bisher gibt es keine Hinweise auf nennenswerte Auswirkungen. US-amerikanische Beh\u00f6rden warnen<\/a> allerdings, dass das Ausma\u00df des Angriffs noch gr\u00f6\u00dfer sein k\u00f6nnte als bisher bekannt.<\/p>\n

Laut Experten von Trend Micro<\/a> sollen die Kriminellen seit mindestens 2020 aktiv sein. So wurde \u00a0die Spionage-Crew im August 2023 mit einer Reihe von Angriffen auf Regierungen und Tech-Firmen, unter anderem auch welche in Deutschland, in Verbindung gebracht.<\/p>\n

So gehen die Angreifer vor<\/strong><\/h2>\n

Die Analyse der Attacken zeigt, dass die Bedrohungsakteure ihr Payload methodisch entwickelt und eine Kombination aus legitimen und ma\u00dfgeschneiderten Tools sowie Techniken eingesetzt haben. Ziel war es, Abwehrma\u00dfnahmen zu umgehen und Zugang zu ihren Zielen zu erhalten.<\/p>\n

Die Forscher berichten, dass Earth Estries st\u00e4ndig seine Tools aktualisiert und den Einsatz von Hintert\u00fcren f\u00fcr lateral movement sowie den Diebstahl von Zugangsdaten hartn\u00e4ckig vorantreibt. So wird f\u00fcr die Datenerfassung und -exfiltration TrillClient genutzt, w\u00e4hrend Tools wie cURL Informationen an anonyme File-Sharing-Dienste senden. Proxys verschleiern dabei den Backdoor-Datenverkehr.<\/p>\n

Zugang durch Schwachstellen in externen Diensten und Software<\/strong><\/h2>\n

Die Sicherheitsforscher konnten zudem zwei unterschiedliche Angriffsketten identifizieren, die zeigen, dass Salt Typhoon ein vielseitiges Arsenal an Techniken besitzt. Bei der einen Angriffskette erfolgt der anf\u00e4ngliche Zugang zu Netzwerken durch die Ausnutzung von Schwachstellen entweder durch extern zug\u00e4ngliche Dienste oder durch Fernverwaltungssoftware.<\/p>\n

Bei einer Reihe von Angriffen wurde zudem festgestellt, dass die Bedrohungsakteure anf\u00e4llige oder falsch konfigurierte QConvergeConsole-Installationen ausnutzen. Ziel ist es hierbei Malware wie<\/p>\n

Cobalt Strike,<\/p>\n

einen benutzerdefinierten Go-basierten Stealer namens TrillClient<\/a> und<\/p>\n

Backdoors wie HemiGate<\/a> und Crowdoor<\/a>,<\/p>\n

zu verbreiten.<\/p>\n

Bei Crowdoor handelt es sich um eine Variante von SparrowDoor, die zuvor von einer anderen mit China verbundenen Gruppe namens Tropic Trooper<\/a> eingesetzt wurde.<\/p>\n

Langfristige Kontrolle \u00fcber kompromittierte Systeme<\/strong><\/h2>\n

Die andere Angriffskette nutzt Schwachstellen in Microsoft Exchange-Servern, um Schadsoftware auszuspielen. \u00a0Hierbei wird die China Chopper-Web-Shell genutzt, um Cobalt Strike, Zingdoor und Snappybee zu verbreiten.<\/p>\n

Die Persistenz auf den Hosts wird durch geplante Aufgaben gew\u00e4hrleistet, und Proxy-Server der Opfer werden auch hier zur Verschleierung des Datenverkehrs genutzt.<\/p>\n

Salt Typhoons Angriffe umfassen, so die Experten, die regelm\u00e4\u00dfige Aktualisierung und den Austausch von Tools und Backdoors wie Cryptmerlin und FuxosDoor. Hiermit werden Befehle dann \u00fcber C2-Server (Command and Control) ausgef\u00fchrt. Die Experten kommen zu dem Schluss, dass die Kombination aus etablierten und ma\u00dfgeschneiderten Techniken demonstriert, dass Earth Estries \u00fcber ein strategisches Vorgehen und tiefes Verst\u00e4ndnis der Zielumgebungen verf\u00fcgt. Dies erm\u00f6glicht den Hackern langfristig die Kontrolle \u00fcber kompromittierte Systeme zu \u00fcbernehmen.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Erst hat die chinesische Hackergruppe Salt Typhoon Trumps Handy gehackt und jetzt T-Mobile USA. Chebakalex7\/shutterstock.com Die Zahl der Cyberangriffe, insbesondere von staatlicher Seite, nimmt immer weiter zu. Jetzt hat es den zweitgr\u00f6\u00dften Mobilfunkanbieter der USA erwischt: die Telekom-Tochter T-Mobile US. Das Unternehmen hat bereits best\u00e4tigt, dass es Opfer einer monatelangen Cyberspionage-Kampagne durch chinesische Angreifer geworden […]<\/p>\n","protected":false},"author":0,"featured_media":887,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-886","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/886"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=886"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/886\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/887"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}