Chinesischer Salztaifun infiltrierte monatelang das Netzwerk der US-Nationalgarde

Eine hochentwickelte chinesische APT-Gruppe namens Salt Typhoon infiltrierte erfolgreich das Netzwerk der Army National Guard des US-Bundesstaates für fast ein Jahr, von März 2024 bis Dezember 2024. Dieser Verstoß, der in einem Memo des Heimatschutzministeriums (DHS) vom Juni detailliert beschrieben wird,

Dies gibt zwar Anlass zur Sorge um die Sicherheit des US-Militärs und kritischer Infrastruktursysteme, doch völlig unerwartet kommt der Angriff nicht. Wie Hackread.com berichtet , haben Infostealer, die bereits für 10 Dollar erhältlich sind, bereits hochsensible Systeme des US-Militärs und sogar des FBI kompromittiert.

Das DHS-Memo , das seine Informationen aus einem Bericht des Verteidigungsministeriums (DOD) bezog und später im Rahmen einer Informationsfreiheitsanfrage der gemeinnützigen Organisation Property of the People an NBC News weitergeleitet wurde, enthüllte, dass Salt Typhoon das Netzwerk „umfassend kompromittiert“ hatte. Obwohl der konkrete Bundesstaat nicht genannt wurde, ermöglichte der Angriff den Hackern, wichtige Informationen zu sammeln.

Während des langwierigen Zugriffs gelang es Salt Typhoon, sensible Daten zu sammeln, darunter Netzwerkkonfigurationen und Details zum Datenverkehr mit Einheiten der Nationalgarde in allen anderen US-Bundesstaaten und mindestens vier US-Territorien. Besonders wichtig: Die gestohlenen Informationen enthielten auch Administratoranmeldeinformationen und Netzwerkdiagramme, die für zukünftige Angriffe auf andere Einheiten der Nationalgarde genutzt werden könnten.

Zu den gestohlenen Daten gehörten auch geografische Lagekarten und personenbezogene Daten von Militärangehörigen. In rund 14 Bundesstaaten arbeiten Einheiten der Nationalgarde eng mit sogenannten Fusionszentren für den Informationsaustausch zusammen. Der Datendiebstahl könnte daher weitreichende Folgen haben, heißt es in dem Memo.

Es ist erwähnenswert, dass Salt Typhoon (auch bekannt als GhostEmperor, FamousSparrow, Earth Estries und UNC2286) in der Vergangenheit die US-Regierung und kritische Infrastruktursektoren, darunter Energie-, Kommunikations-, Transport- und Wassersysteme, ins Visier genommen hat.

Wie Hackread.com bereits berichtete, wurde Salt Typhoon im November 2024 mit einem schwerwiegenden Hackerangriff auf T-Mobile in Verbindung gebracht , der Schwachstellen in Telekommunikationssystemen aufdeckte. Bisher hat die Gruppe mindestens acht große US-Internet- und Telefonunternehmen kompromittiert, darunter AT&T und Verizon .

Berichten zufolge wurden diese Zugangspunkte dazu genutzt, die Kommunikation prominenter Politiker zu überwachen, darunter die der Präsidentschaftskampagnen von Harris und Trump sowie des Büros des Mehrheitsführers im Senat, Chuck Schumer.

Eine Warnung des FBI und des kanadischen Cyber-Zentrums vom Juni 2025 warnte vor der globalen Kampagne von Salt Typhoon gegen Telekommunikationsnetze, bei der Schwachstellen wie CVE-2023-20198 in Geräten ausgenutzt werden, um Daten zu stehlen und verborgenen Zugriff aufrechtzuerhalten.

Angesichts der Komplexität der Nationalgarde-Einheiten, die sowohl der Bundes- als auch der Landesregierung unterstehen, könnte der Vorfall weitere Angriffspunkte für Cyberangriffe schaffen. Das Verteidigungsministerium äußerte sich nicht zu den Einzelheiten, ein Sprecher des Nationalgarde-Büros bestätigte jedoch den Angriff und stellte fest, dass die Missionen dadurch nicht beeinträchtigt worden seien.

„Das DHS analysiert diese Art von Angriffen weiterhin und arbeitet eng mit der Nationalgarde und anderen Partnern zusammen, um zukünftige Angriffe zu verhindern und das Risiko zu mindern“, sagte ein DHS-Sprecher.

Ein Sprecher der chinesischen Botschaft in Washington dementierte die Kampagne zwar nicht, betonte aber, dass den USA schlüssige Beweise für eine Verbindung zwischen Salt Typhoon und der chinesischen Regierung fehlen. Dennoch empfehlen Cybersicherheitsexperten, Netzwerkgeräte zu härten, strengere Passwortrichtlinien zu implementieren und eine starke Verschlüsselung zu aktivieren, um solchen Bedrohungen entgegenzuwirken.

„Bei Volt Typhoon liegt der Schwerpunkt auf der Vorpositionierung für Störungen und der darauf basierenden Schaffung einer abschreckenden Wirkung, während sich Salt Typhoon auf die Positionierung zur Informationsbeschaffung konzentriert“, sagte Casey Ellis , Gründer von Bugcrowd, einem in San Francisco, Kalifornien, ansässigen führenden Unternehmen für Crowdsourcing-Cybersicherheit.

„Ein Angriff auf die Nationalgarde ist keine rein militärische Operation. Staaten setzen ihre Nationalgarde regelmäßig zur Unterstützung der Cyberabwehr ziviler Infrastruktur ein. Als Ziel wären sie eine reiche Quelle für alle möglichen nützlichen Informationen“, argumentierte Casey.

„Informationen leiten das Handeln. Obwohl die Ankündigung des Volt Typhoon ermutigend ist, darf man nicht vergessen, dass wir hier im Grunde ein riesiges Maulwurfspiel spielen. Wachsamkeit und kontinuierliche Bemühungen um Resilienz sind für alle Arten von Verteidigungsorganisationen im Inland von entscheidender Bedeutung“, riet er.