Das **National Cyber Security Centre (NCSC-UK)** hat zusammen mit internationalen Partnern eine gemeinsame Warnung veröffentlicht, die die Verlagerung der von Cyberakteuren mit China-Nexus angewandten Taktiken, Techniken und Verfahren (TTPs) detailliert beschreibt. Diese Verlagerung beinhaltet die Nutzung groß angelegter Netzwerke kompromittierter Geräte, die als „heimliche Netzwerke“ bezeichnet werden, zur Durchführung von Cyberoperationen. **Internationale Zusammenarbeit:** Die Warnung ist das Ergebnis einer gemeinsamen Anstrengung, an der Folgendes beteiligt ist: * Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) * Communications Security Establishment Canada’s (CSE’s) Canadian Centre for Cyber Security (Cyber Centre) * Bundesamt für Verfassungsschutz (BfV) Deutschland * Bundesnachrichtendienst (BND) Deutschland * Bundesamt für Sicherheit in der Informationstechnik (BSI) Deutschland * Japan National Cybersecurity Office (NCO) - 国家サイバー統括室 * General Intelligence and Security Service (AIVD) Niederlande * Defence Intelligence and Security Service (MIVD) Niederlande * New Zealand National Cyber Security Centre (NCSC-NZ) * Centro Criptológico Nacional (CCN) Spanien * Nationellt cybersäkerhetscenter (NCSC-SE) Schweden * United States Cybersecurity and Infrastructure Security Agency (**CISA**) * United States Department of Defense Cyber Crime Center (DC3) * United States Federal Bureau of Investigation (**FBI**) * United States National Security Agency (**NSA**) Die Warnung zielt darauf ab, Netzwerkschutzexperten mit dem Wissen und den Werkzeugen auszustatten, die zur Abwehr dieser sich entwickelnden Bedrohungen erforderlich sind. **Der Aufstieg heimlicher Netzwerke** Bedrohungsakteure mit China-Nexus weichen zunehmend von individuell beschaffter Infrastruktur ab und setzen stattdessen auf extern bereitgestellte, groß angelegte Netzwerke kompromittierter Geräte. Diese „heimlichen Netzwerke“ bestehen hauptsächlich aus kompromittierten Small Office Home Office (SOHO)-Routern, Internet of Things (IoT)-Geräten und Smart Devices. Diese Netzwerke, auch bekannt als botnets, werden strategisch in großem Maßstab eingesetzt, um bösartige Cyberaktivitäten zu ermöglichen. **Wie heimliche Netzwerke funktionieren** Heimliche Netzwerke bieten eine kostengünstige, risikoarme und abstreitbare Methode zur Verbindung über das Internet, wodurch der Ursprung und die Zuordnung bösartiger Aktivitäten effektiv verschleiert werden. Akteure nutzen diese Netzwerke während der gesamten Cyber Kill Chain, von Aufklärungsscans über die Bereitstellung von malware bis hin zur Kommunikation mit malware und der Exfiltration gestohlener Daten. Sie ermöglichen auch anonymes Surfen zur Recherche über exploit-Techniken und Opfer. **Raptor Train und Integrity Technology Group** Beweise deuten darauf hin, dass chinesische Informationssicherheitsunternehmen an der Erstellung und Wartung dieser heimlichen Netzwerke beteiligt sind. Das als **Raptor Train** bekannte Netzwerk, das 2024 über 200.000 Geräte weltweit infizierte, wurde von der **Integrity Technology Group** kontrolliert. Das **FBI** hat dieses Unternehmen als verantwortlich für Computer-Intrusionen eingestuft, die den China-basierten Hackern, bekannt als Flax Typhoon, zugeschrieben werden. **Anfällige Geräte und das KV Botnet** Diese heimlichen Netzwerke nutzen häufig Schwachstellen in SOHO-Routern, IoT-Geräten (wie Webcams und Videorekordern), Firewalls und Network Attached Storage (NAS)-Geräten aus. Das KV Botnet, das von Volt Typhoon verwendet wurde, zielte hauptsächlich auf anfällige **Cisco**- und **NetGear**-Router ab, die „End of Life“ waren und keine Sicherheitsupdates mehr erhielten. **Die Herausforderung der Indicator of Compromise (IOC) Extinction** **Mandiant Intelligence** hob in einem Blogbeitrag vom Mai 2024 das Problem der Indicator of Compromise (IOC) Extinction hervor. Die dynamische Natur dieser Netzwerke mit potenziell Hunderttausenden von Endpunkten, die von mehreren Bedrohungsakteuren genutzt werden, macht traditionelle Netzwerkschutzstrategien, wie statische Listen blockierter bösartiger IPs, weniger effektiv. **Typische Netzwerktopologie** Obwohl die spezifischen Details jedes heimlichen Netzwerks variieren, folgen sie im Allgemeinen einer ähnlichen Struktur: * **On-ramp/Entry Node:** Der anfängliche Verbindungspunkt zum Netzwerk. * **Traversal Nodes:** Mehrere kompromittierte Geräte, die den Datenverkehr weiterleiten. * **Exit Node:** Der Punkt, an dem der Datenverkehr das Netzwerk verlässt, oft in derselben geografischen Region wie das Ziel.  **Schutzmaßnahmen** Die Abwehr von Angriffen, die von heimlichen Netzwerken ausgehen, erfordert einen vielschichtigen Ansatz. Organisationen sollten allgemeine Cybersicherheits-Best Practices befolgen und die folgenden spezifischen Maßnahmen in Betracht ziehen: * Implementieren Sie robuste Netzwerküberwachungs- und Intrusion Detection-Systeme. * Halten Sie alle Geräte, einschließlich Router und IoT-Geräte, mit den neuesten Sicherheitspatches auf dem neuesten Stand. * Segmentieren Sie Netzwerke, um die Auswirkungen einer möglichen Kompromittierung zu begrenzen. * Erzwingen Sie starke Authentifizierungs- und Zugriffskontrollrichtlinien. * Überprüfen und aktualisieren Sie regelmäßig Sicherheitsrichtlinien und -verfahren. Weitere Anleitungen finden Sie auf der Website des **NCSC**, zusammen mit Überlegungen zu geltenden Gesetzen und Vorschriften.