US-Behörden haben bestätigt, dass sie die Operationen einer chinesischen staatlich unterstützten Hackergruppe gestört haben, die im Rahmen einer jahrelangen Spionagekampagne Millionen von Computern weltweit infiltriert hat, um Daten zu stehlen.
Das Justizministerium und das FBI gaben am Dienstag bekannt, dass sie im August 2024 im Rahmen einer gerichtlich genehmigten Operation erfolgreich die von der China-unterstützten Hackergruppe namens “Twill Typhoon” oder “Mustang Panda” gepflanzte Malware von Tausenden infizierten Systemen in den Vereinigten Staaten gelöscht haben.
Die französischen Behörden leiteten die Operation mit Unterstützung des in Paris ansässigen Cybersecurity-Unternehmens Sekoia. In einer Pressemitteilung des vergangenen Jahres erklärten französische Staatsanwälte, dass die Malware — bekannt als “PlugX” — mehrere Millionen Computer weltweit infiziert hatte, darunter 3.000 Geräte in Frankreich.
Sekoia teilte in einem Blogbeitrag mit, dass es die Fähigkeit entwickelt habe, Befehle an infizierte Geräte zu senden, um die PlugX-Malware zu löschen. US-Behörden sagten, dass die Operation dazu genutzt wurde, die Malware von mehr als 4.200 infizierten Computern in den Vereinigten Staaten zu löschen.
In den vor dem Bundesgericht in Pennsylvania eingereichten Gerichtsunterlagen erklärte das FBI, dass es die Malware — die in der Regel über den USB-Anschluss eines Zielgeräts installiert wird — seit mindestens 2012 beobachtet habe und dass die Malware von chinesischen staatlich unterstützten Hackern seit 2014 verwendet werde.
Nach der Installation sammelt die Malware laut FBI „die Computerdateien des Opfers für den Abtransport“. Die französischen Behörden sagen, dass die PlugX-Malware „insbesondere zu Spionagezwecken eingesetzt wird“.
In ihrer Erklärung am Dienstag beschuldigte das US-Justizministerium die chinesische Regierung, der Twill Typhoon-Gruppe Geld für die Entwicklung der PlugX-Malware gezahlt zu haben. China hat bereits wiederholt US-Vorwürfe des Hackings bestritten.
Obwohl konkrete Opfer dieser Hacking-Kampagne nicht genannt wurden, sagt das FBI, dass Twill Typhoon die Systeme von „zahlreichen“ Regierungs- und Privatorganisationen infiltriert hat, einschließlich in den Vereinigten Staaten. Zu den bedeutenden Zielen gehören europäische Reedereien, mehrere europäische Regierungen, chinesische Dissidentengruppen und verschiedene Regierungen in der Indo-Pazifik-Region, so das FBI.
Twill Typhoon reiht sich in die wachsende Liste chinesischer staatlich unterstützter Hackergruppen mit dem Typhoon-Namen ein. Diese Liste umfasst Volt Typhoon, eine Gruppe chinesischer Regierungshacker, die mit der Vorbereitung zerstörerischer Cyberangriffe beauftragt ist, und Salt Typhoon, die China-unterstützte Gruppe, die für das massenhafte Hacking von US-Telefon- und Internetunternehmen verantwortlich ist.
Laut Microsoft, das das Benennungssystem für Hackergruppen entwickelt hat, hat Twill Typhoon (früher bekannt als „Tantalum“) eine Erfolgsgeschichte bei der Kompromittierung von Regierungsmaschinen in Afrika und Europa sowie von humanitären Organisationen weltweit.
Microsoft reagierte am Dienstag nicht sofort auf Fragen von TechCrunch.
Dies ist der jüngste in einer langen Liste von gerichtlich genehmigten Operationen, die US-Behörden in den letzten Jahren unternommen haben, um der wachsenden Bedrohung durch ausländische Gegner, die amerikanische Geräte ins Visier nehmen, entgegenzuwirken. Im Jahr 2024 führte das FBI mehrere Operationen zur Entfernung von Malware und zur Übernahme bösartiger Botnets durch, um die chinesisch unterstützten Kampagnen gegen die US-kritische Infrastruktur zu stören.
US-amerikanische Sicherheitsbeamte haben die offensive Cyber-Kapazitäten der chinesischen Regierung zuvor als „epochale Bedrohung“ beschrieben.
