Das **National Cyber Security Centre (NCSC-UK)** des Vereinigten Königreichs und internationale Partner haben eine deutliche Warnung herausgegeben: Staatlich geförderte chinesische Hacker nutzen zunehmend riesige Netzwerke kompromittierter Verbrauchergeräte, um der Erkennung zu entgehen und ihre bösartigen Aktivitäten zu verschleiern. Diese gemeinsame Mitteilung, die von Behörden aus den Vereinigten Staaten, Australien, Kanada, Deutschland, Japan, den Niederlanden, Neuseeland, Spanien und Schweden mitunterzeichnet wurde, hebt eine bedeutende taktische Veränderung hervor. Die Mehrheit der chinesischen Hacking-Gruppen hat sich von individuell beschaffter Infrastruktur abgewandt und setzt stattdessen auf expansive Botnetze kompromittierter Geräte, die hauptsächlich kleine Büro- und Heimrouter (SOHO), internetfähige Kameras, Videorekorder und Network Attached Storage (NAS)-Geräte ins Visier nehmen. ### Botnet-Funktionalität Diese massiven Botnetze ermöglichen es Angreifern, den Datenverkehr über Ketten kompromittierter Geräte zu leiten. Der Datenverkehr tritt an einem Punkt in das Netzwerk ein, durchläuft mehrere Zwischenknoten und tritt in der Nähe des beabsichtigten Ziels wieder aus, wodurch der tatsächliche Standort des Angreifers effektiv verschleiert und eine geografische Erkennung vermieden wird. "Das NCSC geht davon aus, dass die Mehrheit der China-Nexus-Bedrohungsakteure diese Netzwerke nutzt [...], dass mehrere geheime Netzwerke geschaffen wurden und ständig aktualisiert werden und dass ein einzelnes geheimes Netzwerk von mehreren Akteuren genutzt werden könnte", heißt es in der [gemeinsamen Mitteilung](https://www.ncsc.gov.uk/news/executive-summary-defending-against-china-nexus-covert-networks-of-compromised-devices). "Diese Netzwerke bestehen hauptsächlich aus kompromittierten Small Office Home Office (SOHO)-Routern sowie aus Internet of Things (IoT)- und Smart-Geräten." <div> <figure> <figcaption><em>Grundlegende Einrichtung eines geheimen Netzwerks (NCSC-UK)</em></figcaption> </figure> </div> ### Bemerkenswerte Botnet-Beispiele Ein solches massives chinesisches Botnet, bekannt als **Raptor Train**, infizierte im Jahr 2024 über 260.000 Geräte weltweit. Das **FBI** brachte **Raptor Train** mit bösartigen Aktivitäten in Verbindung, die der staatlich geförderten chinesischen Hacking-Gruppe **Flax Typhoon** und dem chinesischen Unternehmen **Integrity Technology Group** (im Januar 2025 sanktioniert) zugeschrieben wurden. Das **FBI** hat **Raptor Train** im September 2024 mit Hilfe von Forschern von **Black Lotus Labs** zerschlagen, nachdem es mit Kampagnen in Verbindung gebracht wurde, die sich gegen Einrichtungen im Militär-, Regierungs-, Hochschul-, Telekommunikations-, Verteidigungsindustrie- (DIB) und IT-Sektor richteten, hauptsächlich in den USA und Taiwan. Ein separates Netzwerk (**KV-Botnet**) wurde von der chinesischen staatlich unterstützten Bedrohungsgruppe **Volt Typhoon** genutzt und bestand hauptsächlich aus anfälligen **Cisco**- und **Netgear**-Routern, die veraltet waren und keine Sicherheitspatches mehr erhielten. Das **FBI** hat **KV-Botnet** im Januar 2024 ebenfalls zerschlagen, indem es Malware von infizierten Routern gelöscht hat, aber **Volt Typhoon** begann langsam, es im November 2024 nach einem ersten fehlgeschlagenen Versuch im Februar wiederzubeleben. ### Auswirkungen und Abhilfemaßnahmen "Botnet-Operationen stellen eine erhebliche Bedrohung für das Vereinigte Königreich dar, indem sie Schwachstellen in alltäglichen internetfähigen Geräten ausnutzen, mit dem Potenzial, groß angelegte Cyberangriffe durchzuführen", sagte Paul Chichester, Direktor für operative Angelegenheiten des **NCSC-UK**. Westliche Geheimdienste, die die Mitteilung unterzeichneten, warnten, dass traditionelle Abwehrmaßnahmen, die auf der Blockierung statischer Listen bösartiger IP-Adressen basieren, immer weniger wirksam werden, da diese Botnetze kontinuierlich neue kompromittierte Knoten hinzufügen. Stattdessen wird Netzwerkverteidigern in kleinen, mittleren und großen Organisationen empfohlen, Multifaktor-Authentifizierung zu implementieren, Netzwerk-Edge-Geräte zu kartieren, dynamische Bedrohungsfeeds zu nutzen, die bekannte Indikatoren für geheime Netzwerke enthalten, und, wo möglich, IP-Allowlisten, Zero-Trust-Kontrollen und die Verifizierung von Maschinen-Zertifikaten anzuwenden.