Letzte Woche übernahm das FBI die Kontrolle über ein Botnetz, das aus Hunderttausenden mit dem Internet verbundenen Geräten wie Kameras, Videorekordern, Speichergeräten und Routern bestand und von einer Hackergruppe der chinesischen Regierung betrieben wurde, wie FBI-Direktor Christopher Wray und US-Regierungsbehörden am Mittwoch bekannt gaben.
Die Hackergruppe mit dem Namen Flax Typhoon habe „kritische Infrastrukturen in den USA und im Ausland ins Visier genommen, von Unternehmen und Medienorganisationen bis hin zu Universitäten und Regierungsbehörden“, sagte Wray am Mittwoch auf der Cybersicherheitskonferenz Aspen Cyber Summit.
„Aber in Zusammenarbeit mit unseren Partnern führten wir gerichtlich genehmigte Operationen durch, um die Kontrolle über die Infrastruktur des Botnetzes zu übernehmen“, sagte Wray und erklärte, dass das FBI, nachdem die Behörden dies getan hatten, auch die Malware von den kompromittierten Geräten entfernte. „Als die Bösewichte merkten, was passierte, versuchten sie, ihre Bots auf neue Server zu migrieren und führten sogar einen (Distributed Denial of Service)-Angriff gegen uns durch.“
Auf Anfrage von TechCrunch am Mittwoch gab ein Sprecher des FBI keinen Kommentar ab.
Dabei handelt es sich um die jüngste von den USA angeführte Zerschlagung von Infrastruktur, die mit den von China unterstützten Hackerangriffen und Cyberattacken in Verbindung steht. Hochrangige US-Beamte warnten zuvor vor chinesischen Bemühungen, den Amerikanern im Falle eines künftigen Konflikts mit China „realen Schaden“ zuzufügen.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu Cyberangriffen durch Nationalstaaten? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können TechCrunch auch über SecureDrop kontaktieren.
In einem am Mittwoch veröffentlichten gemeinsamen Gutachtendas FBI, die Cyber National Mission Force und die National Security Agency haben das Botnetz mit kompromittierten 260.000 Geräten mit der chinesischen Regierung in Verbindung gebracht. Laut der Warnung wurde das Botnetz verwendet, um die Operationen chinesischer Hacker zu verschleiern. Die US-Regierung sagte, das Botnetz werde von der Integrity Technology Group betrieben und kontrolliert, die angeblich für die chinesische Regierung arbeitet.
Ein Vertreter der Integrity Technology Group antwortete am Mittwoch nicht auf die Bitte von TechCrunch um einen Kommentar.
Das Botnetz, so die Warnung, hackte sich mithilfe von Mirai in anfällige, mit dem Internet verbundene Geräte ein. Dabei handelt es sich um eine berüchtigte Schadsoftware, die darauf ausgelegt ist, eine große Zahl kompromittierter Geräte zu steuern. Mirai wurde 2016 als Open Source freigegeben, nachdem eine Gruppe von Hackern damit die damals mächtigsten Distributed-Denial-of-Service-Angriffe gestartet hatte.
Die Operation Flax Typhoon zielte auf eine große Zahl internetfähiger Geräte von Privatanwendern ab. Die Behörden gaben an, eine Datenbank mit „über 1,2 Millionen Datensätzen kompromittierter Geräte gefunden zu haben, darunter über 385.000 einzelne US-Geräte, die sowohl zuvor als auch aktiv missbraucht wurden.“
Anfang des Jahres hat Microsoft veröffentlichte einen Bericht über Flax Typhoonund sagte, die Gruppe habe „Dutzende von Organisationen“ in Taiwan ins Visier genommen. Der Technologieriese berichtete, dass Flax Typhoon seit Mitte 2021 aktiv sei und „Regierungsbehörden und Bildungs-, kritische Fertigungs- und Informationstechnologieorganisationen in Taiwan“ ins Visier genommen habe.
In einem am Mittwoch veröffentlichten Bericht schrieb das Cybersicherheitsunternehmen ESET, es habe beobachtet, wie Flax Typhoon mehrere Microsoft Exchange-Server in Taiwan kompromittiert habe. Ziel sei „mehrere Regierungsorganisationen, aber auch ein Beratungsunternehmen, ein Unternehmen für Reisebuchungssoftware sowie die Pharma- und Elektronikbranche“.
Anfang des Jahres unterband die US-Regierung die Aktivitäten einer anderen chinesischen Hackergruppe namens Volt Typhoon, die aktiv US-Internetprovider und kritische US-Infrastrukturen ins Visier nahm. Die US-Regierung erklärte damals, Volt Typhoon bereite sich auf Cyberangriffe vor, die im Falle eines zukünftigen Konflikts mit den USA, wie etwa einer erwarteten chinesischen Invasion Taiwans, zerstörerische Cyberangriffe durchführen könnten.