Die Zahl der Cyberangriffe, insbesondere von staatlicher Seite, nimmt immer weiter zu. Jetzt hat es den zweitgrößten Mobilfunkanbieter der USA erwischt: die Telekom-Tochter T-Mobile US. Das Unternehmen hat bereits bestätigt, dass es Opfer einer monatelangen Cyberspionage-Kampagne durch chinesische Angreifer geworden ist. Die Hacker konnten als Salt Typhoon identifiziert werden, wobei diese Gruppe auch als Earth Estries, FamousSparrow, GhostEmperor und UNC2286 bekannt ist. Schlagzeilen machte die Gruppe vor kurzem, als sie im US-amerikanischen Wahlkampf die Mobiltelefone von Donald Trump und JD Vance hackte.

T-Mobile US war jedoch nicht das einzige Opfer der Chinesen: So waren auch andere Telekommunikationsanbieter wie AT&T, Verizon und Lumen Technologies betroffen. Die Angreifer kompromittierten Netzwerke, um

• Kundendaten zu stehlen,
• private Kommunikation politischer oder staatlicher Personen zu überwachen und
• Ermittlungsdaten der US-Regierung zu kopieren.

Es ist unklar, ob sensible Informationen bei T-Mobile gestohlen wurden. Bisher gibt es keine Hinweise auf nennenswerte Auswirkungen. US-amerikanische Behörden warnen allerdings, dass das Ausmaß des Angriffs noch größer sein könnte als bisher bekannt.

Laut Experten von Trend Micro sollen die Kriminellen seit mindestens 2020 aktiv sein. So wurde  die Spionage-Crew im August 2023 mit einer Reihe von Angriffen auf Regierungen und Tech-Firmen, unter anderem auch welche in Deutschland, in Verbindung gebracht.

So gehen die Angreifer vor

Die Analyse der Attacken zeigt, dass die Bedrohungsakteure ihr Payload methodisch entwickelt und eine Kombination aus legitimen und maßgeschneiderten Tools sowie Techniken eingesetzt haben. Ziel war es, Abwehrmaßnahmen zu umgehen und Zugang zu ihren Zielen zu erhalten.

Die Forscher berichten, dass Earth Estries ständig seine Tools aktualisiert und den Einsatz von Hintertüren für lateral movement sowie den Diebstahl von Zugangsdaten hartnäckig vorantreibt. So wird für die Datenerfassung und -exfiltration TrillClient genutzt, während Tools wie cURL Informationen an anonyme File-Sharing-Dienste senden. Proxys verschleiern dabei den Backdoor-Datenverkehr.

Zugang durch Schwachstellen in externen Diensten und Software

Die Sicherheitsforscher konnten zudem zwei unterschiedliche Angriffsketten identifizieren, die zeigen, dass Salt Typhoon ein vielseitiges Arsenal an Techniken besitzt. Bei der einen Angriffskette erfolgt der anfängliche Zugang zu Netzwerken durch die Ausnutzung von Schwachstellen entweder durch extern zugängliche Dienste oder durch Fernverwaltungssoftware.

Bei einer Reihe von Angriffen wurde zudem festgestellt, dass die Bedrohungsakteure anfällige oder falsch konfigurierte QConvergeConsole-Installationen ausnutzen. Ziel ist es hierbei Malware wie

• Cobalt Strike,
• einen benutzerdefinierten Go-basierten Stealer namens TrillClient und
• Backdoors wie HemiGate und Crowdoor,

zu verbreiten.

Bei Crowdoor handelt es sich um eine Variante von SparrowDoor, die zuvor von einer anderen mit China verbundenen Gruppe namens Tropic Trooper eingesetzt wurde.

Langfristige Kontrolle über kompromittierte Systeme

Die andere Angriffskette nutzt Schwachstellen in Microsoft Exchange-Servern, um Schadsoftware auszuspielen.  Hierbei wird die China Chopper-Web-Shell genutzt, um Cobalt Strike, Zingdoor und Snappybee zu verbreiten.

Die Persistenz auf den Hosts wird durch geplante Aufgaben gewährleistet, und Proxy-Server der Opfer werden auch hier zur Verschleierung des Datenverkehrs genutzt.

Salt Typhoons Angriffe umfassen, so die Experten, die regelmäßige Aktualisierung und den Austausch von Tools und Backdoors wie Cryptmerlin und FuxosDoor. Hiermit werden Befehle dann über C2-Server (Command and Control) ausgeführt. Die Experten kommen zu dem Schluss, dass die Kombination aus etablierten und maßgeschneiderten Techniken demonstriert, dass Earth Estries über ein strategisches Vorgehen und tiefes Verständnis der Zielumgebungen verfügt. Dies ermöglicht den Hackern langfristig die Kontrolle über kompromittierte Systeme zu übernehmen.