über 80 Länder betroffen, sensible US-Telekomdaten abgegriffen
Eine gemeinsame Warnung von FBI, CISA, NSA und internationalen Partnern beschreibt eine seit Jahren laufende Kampagne der China-verbundenen Gruppe Salt Typhoon. Demnach sind Organisationen in über 80 Ländern betroffen, darunter Hunderte Unternehmen in den USA – mit Schwerpunkt auf Telekommunikation, aber auch Transport, Beherbergung und weitere Sektoren. Medienberichte sprechen von massenhaften Abflüssen sensibler Verbindungsdaten und sogar Zugriffen auf Systeme zur rechtmäßigen Überwachung. CISA-Advisory, Washington Post, WSJ, TechRepublic
Was ist passiert?
Die von Microsoft als „Salt Typhoon“ klassifizierte Gruppe (Microsofts Namensschema verwendet „Typhoon“ für Akteure mit China-Bezug) soll seit mindestens 2019 zielgerichtet Netzwerke kompromittieren, primär bei Telekommunikationsanbietern. Die neue, am 27. August 2025 veröffentlichte Gemeinschaftswarnung (AA25-239A) der Sicherheitsbehörden aus den USA, den Five-Eyes-Staaten und weiteren europäischen Partnern zeigt: Das Ausmaß geht weit über die USA hinaus – betroffen sind Dutzende Branchen in mehr als 80 Ländern. Parallel berichten große Medien über den Abfluss von Millionen Anruf- und Standortdatensätzen sowie den Zugriff auf sensible US-Vollzugs- und Wiretap-Systeme. NSA, Washington Post, WSJ
Wie ging Salt Typhoon vor? – Die Taktiken im Überblick
- Angriff über Netzwerktechnik: Laut CISA-Advisory kompromittierten die Angreifer Router, Firewalls und andere Netzwerkgeräte und veränderten Konfigurationen, um sich dauerhaft einzunisten.
- Manipulierte Access-Control-Lists (ACLs): Besonders auffällig: das Ergänzen eigener IPs in ACLs (häufig mit Bezeichnungen wie „
access-list 20“, alternativ 10 oder 50), um Sicherheitsregeln zu umgehen und Zugriffe zu erlauben. CISA - „Living off the Land“: Nutzung legitimer Admin-Tools und Protokolle, um wenig Spuren zu hinterlassen und klassische Erkennung zu erschweren. TechRepublic, CyberScoop
- Zugangsdaten & Schlüssel: Nach erfolgreicher Erstkompromittierung wurden Anmeldedaten, Konfigs und Schlüsselmaterial abgegriffen, um sich seitlich zu bewegen und weitere Ziele zu erreichen. CISA-Alert
Wen trifft es?
Die Kampagne richtet sich laut Behörden und Medien primär gegen Telekommunikationsunternehmen, betrifft aber auch Transport, Beherbergung und andere Branchen. In den USA sollen rund 200 Organisationen betroffen sein, weltweit mehr als 80 Länder. Betroffenheit großer US-Carrier und der Abfluss law-enforcement-naher Informationen werden in einer Reihe von Berichten genannt. Washington Post, WSJ, TechRepublic
Warum das mehr als „klassische“ Spionage ist
Behörden betonen, dass Muster, Zielauswahl und Hartnäckigkeit der Zugriffe über konventionelle Informationsbeschaffung hinausgehen. Die Warnungen erinnern an frühere Einschätzungen zu Volt Typhoon, wo es um mögliche Vorbereitungen auf Störung kritischer Infrastruktur ging. Der Tenor: langfristige Vorpositionierung in Netzen, um im Krisenfall Wirkung entfalten zu können. CISA (Volt-Typhoon-Kontext), CISA China-Threat Overview
Zeitleiste: Von ersten Spuren bis zur globalen Warnung
- 2019: Beginn der Aktivitäten, erste Kompromittierungen insbesondere bei Telekommunikationsunternehmen. Washington Post
- 2023: US-Behörden und Sicherheitsteams korrelieren die Aktivitäten; CISA-Threat Hunter entdecken Spuren in Regierungsnetzen und beschleunigen die Aufklärung. CyberScoop, Cybersecurity Dive
- 27. August 2025: Gemeinsames Advisory AA25-239A mit detaillierten Erkennungs- und Abwehrhinweisen; parallel umfassende Medienberichte. NSA, TechRepublic
Indikatoren & forensische Ansatzpunkte
Das Advisory nennt konkrete Hinweise auf Manipulationen an Netzwerkgeräten. Besonders wichtig:
- ACL-Anomalien wie zusätzliche Einträge, die externen IPs (Threat-Actor-Kontrolle) Zugriff erlauben – häufig unter
access-list 20gesehen; wenn „20“ belegt war, alternativ „10“ oder „50“ genutzt. - Ungewöhnliche Admin-Zugriffe, neue oder geänderte Admin-Konten, auffällige Konfig-Backups.
- Protokoll-Lücken oder Rotationen unmittelbar nach Konfig-Änderungen.
Details und IOC-Beispiele finden sich in CISA AA25-239A.
Konkrete Maßnahmen für Unternehmen
Organisationen – nicht nur aus der Telekom-Branche – sollten kurzfristig folgende Schritte umsetzen:
- Netzwerkgeräte prüfen: ACLs, Routen, NAT-Tabellen und VPN-Profile systematisch auf Unregelmäßigkeiten vergleichen; auf verdächtige Bezeichnungen wie
access-list 20achten. CISA - Firmware und Patches für Router/Firewalls zeitnah einspielen; bekannte Schwachstellen priorisiert schließen. CISA-Alert
- Secrets & Schlüssel rotieren: Admin-Passwörter, API-Keys, Zertifikate; MFA erzwingen und privilegierte Zugänge minimieren.
- Segmentierung & Egress-Kontrollen: Abflüsse aus Management-Netzen einschränken, ungewöhnliche Verbindungen alarmieren.
- Monitoring schärfen: Konfig-Änderungen in Echtzeit protokollieren, Telemetrie auf Netzwerkebene (NetFlow) aktiv auswerten.
- Incident-Response vorbereiten: Playbooks für Netzwerkgeräte, Out-of-Band-Zugänge, „Golden Configs“ und schnelle Rollbacks vorhalten.
Einordnung: Microsofts Bedrohungsnamen und der größere Kontext
Microsoft führt seit 2023/2024 ein konsistentes Schema zur Benennung von Akteuren – „Typhoon“ steht für China-Akteure (andere Beispiele: „Volt Typhoon“, „Silk Typhoon“). Das erleichtert die Zuordnung von Kampagnen und TTPs über Berichte hinweg. Microsoft-Leitfaden zur Akteurs-Benennung, Microsoft Security (Beispiel Silk Typhoon)
Fazit
Salt Typhoon ist keine Eintagsfliege, sondern eine lang angelegte Kampagne gegen die Nervenbahnen unserer vernetzten Welt. Wer Netzwerkgeräte betreibt – vom SMB bis zum Carrier – sollte die neuen Erkennungsmerkmale prüfen, Konfigurationen abhärten und Vorfälle aktiv ausschließen. Die gute Nachricht: Das Advisory liefert konkrete Prüfpunkte. Die schlechte: Wer nur auf Endpoint-Signaturen schaut, übersieht leicht den eigentlichen Schauplatz – die Infrastruktur selbst.
Letzte Aktualisierung am 18.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Weiterführende Links / Quellen
- TechRepublic: Salt Typhoon Cyber Spies Breached 80+ Nations, FBI Warns (28.08.2025)
- CISA Advisory AA25-239A (27.08.2025)
- CISA & Partner: Gemeinsamer Alert (27.08.2025)
- NSA: Guidance zu staatlich unterstützten Akteuren (27.08.2025)
- Washington Post: FBI-Warnung zu Ausweitung auf 80 Länder (27.08.2025)
- Wall Street Journal: Umfang und Datenabfluss (27.08.2025)
- CyberScoop: CISA-Threat Hunter entdeckten frühe Spuren (Jan 2025)
- Cybersecurity Dive: Einordnung zu frühen Funden (Jan 2025)
- Microsoft: Benennung von Bedrohungsakteuren („Typhoon“ für China)
- Microsoft Security Blog: Beispiel „Silk Typhoon“ (05.03.2025)
Über den Autor
