Chinesische Schläferzellen in vielen Telekom-Backbones gefunden
Ein wahrscheinlich staatlich unterstützter Angreifer mit Verbindungen nach China hat sich weltweit tief in zentralen Telekommunikations-Infrastrukturen eingenistet. Ziel sei ein langfristiger und unbemerkter Zugang zu kritischen Netzwerken.
Die eingesetzten Werkzeuge deuten jedoch klar auf strategische Spionage hin, auch mit Blick auf Regierungsnetze. Die Angriffe seien so konzipiert, dass sie nicht nur einmalig eindringen, sondern dauerhaft in den betroffenen Systemen verbleiben und dort als eine Art versteckte Infrastruktur fungieren.
Im Zentrum der Operation steht die Schadsoftware BPFdoor. Diese nutzt Funktionen des Berkeley-Packet-Filters, um Netzwerkverkehr direkt im Betriebssystemkern zu überwachen. Die Backdoor bleibt dabei passiv und reagiert ausschließlich auf speziell präparierte Datenpakete. Erst wenn ein bestimmtes Muster erkannt wird, öffnet sich ein versteckter Zugang zum System.
Die Angreifer verschafften sich darüber zunächst Zugang über öffentlich erreichbare Anwendungen oder kompromittierte Benutzerkonten. Dabei wurden unter anderem Systeme von Cisco, Fortinet, VMware und Palo Alto Networks ins Visier genommen. Anschließend installierten sie weitere Werkzeuge zur Ausweitung ihrer Kontrolle, darunter Frameworks zur Fernsteuerung und Programme zum Abgreifen von Zugangsdaten.
Laut Rapid7 zielen die Angriffe nicht primär auf einzelne Server, sondern auf die grundlegenden Systeme, die Telekommunikationsnetze betreiben, darunter physische Server, cloudbasierte Container-Plattformen und Signalisierungsprotokolle. Der Bericht reiht sich in eine Serie ähnlicher Vorfälle ein: Bereits 2024 hatten US-Behörden vor Aktivitäten der Gruppe Volt Typhoon gewarnt, die sich langfristig in kritischen Infrastrukturen positioniert hatte.
Siehe auch:
Angreifer unbekannt
Dabei kommen besonders schwer erkennbare Schadprogramme zum Einsatz, die direkt im Kernel von Systemen verankert sind, heißt es in einem aktuellen Bericht des IT-Sicherheitsunternehmens Rapid7. Nach Angaben der Experten handelt es sich um eine bislang keiner bekannten Advanced-Persistent-Threat-Gruppe (APT) eindeutig zugeordnete Kampagne.Die eingesetzten Werkzeuge deuten jedoch klar auf strategische Spionage hin, auch mit Blick auf Regierungsnetze. Die Angriffe seien so konzipiert, dass sie nicht nur einmalig eindringen, sondern dauerhaft in den betroffenen Systemen verbleiben und dort als eine Art versteckte Infrastruktur fungieren.
Im Zentrum der Operation steht die Schadsoftware BPFdoor. Diese nutzt Funktionen des Berkeley-Packet-Filters, um Netzwerkverkehr direkt im Betriebssystemkern zu überwachen. Die Backdoor bleibt dabei passiv und reagiert ausschließlich auf speziell präparierte Datenpakete. Erst wenn ein bestimmtes Muster erkannt wird, öffnet sich ein versteckter Zugang zum System.
Die Angreifer verschafften sich darüber zunächst Zugang über öffentlich erreichbare Anwendungen oder kompromittierte Benutzerkonten. Dabei wurden unter anderem Systeme von Cisco, Fortinet, VMware und Palo Alto Networks ins Visier genommen. Anschließend installierten sie weitere Werkzeuge zur Ausweitung ihrer Kontrolle, darunter Frameworks zur Fernsteuerung und Programme zum Abgreifen von Zugangsdaten.
Raffinierte Backdoor
Besonders auffällig ist die technische Raffinesse neuer Varianten von BPFdoor: Die Aktivierungssignale sind inzwischen in scheinbar normalen HTTPS-Datenverkehr eingebettet und so gestaltet, dass sie präzise an einer bestimmten Stelle im Datenstrom erkannt werden. Zusätzlich kombinieren die Angreifer Verschlüsselung, Tarnmechanismen auf Anwendungsebene und spezielle Kommunikationskanäle, um moderne Sicherheitsmaßnahmen zu umgehen.Laut Rapid7 zielen die Angriffe nicht primär auf einzelne Server, sondern auf die grundlegenden Systeme, die Telekommunikationsnetze betreiben, darunter physische Server, cloudbasierte Container-Plattformen und Signalisierungsprotokolle. Der Bericht reiht sich in eine Serie ähnlicher Vorfälle ein: Bereits 2024 hatten US-Behörden vor Aktivitäten der Gruppe Volt Typhoon gewarnt, die sich langfristig in kritischen Infrastrukturen positioniert hatte.
Zusammenfassung
- Chinesische Angreifer nisteten sich in Telekom-Infrastrukturen weltweit ein
- Schadsoftware BPFdoor nutzt den Berkeley-Packet-Filter im Systemkern
- Die Backdoor bleibt passiv und reagiert nur auf präparierte Datenpakete
- Systeme von Cisco, Fortinet, VMware und Palo Alto wurden angegriffen
- Aktivierungssignale werden in normalem HTTPS-Datenverkehr versteckt
- Angriffe zielen auf grundlegende Systeme der Telekommunikationsnetze ab
- Bereits 2024 warnten US-Behörden vor ähnlichen Volt-Typhoon-Aktivitäten
Siehe auch:
Thema:
Kurs der T-Aktie
Videos zum Thema Telekom
-
The Walking Dead: Dead City - Der Trailer zur dritten Staffel ist da
-
Super Bowl 2026: Die Backstreet Boys singen für T-Mobile
-
The Walking Dead: Daryl Dixon: Spanisches Zombie-Inferno in Staffel 3
-
AVM Fritzbox 7590 AX: "Anschließen und lossurfen" getestet
-
The Walking Dead: Dead City - Erster Teaser zu Staffel 2 veröffentlicht
Beliebte Downloads
Beiträge aus dem Forum
Beliebt im Preisvergleich
- WLAN-Router mit Modem:
Weiterführende Links
Neue Nachrichten
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- Optionales Windows-11-Update mit neuer Wiederherstellung gestartet
- Neue Ikea-Smart-Home-Produkte aufgetaucht - das soll bald kommen
- Preis-Kracher im Vodafone-Netz: 70 GB Allnet-Flat für nur 9,99 Euro
- AMD bestätigt Probleme mit FSR-Treiber 26.6.2 auf vielen Windows-PCs
- Apple startet iOS 27 Beta 2 und zeigt, was Nutzer ab Herbst erwartet
- Samsung Galaxy Z Flip8, Fold8 & Fold8 Ultra: Infos zu Farben & Speicher
Videos
Neueste Downloads
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen