Kanadische Behörden und FBI warnen vor chinesischer Cyberspionage in der Telekommunikationsbranche

Das Canadian Centre for Cyber Security und das US-amerikanische FBI haben eine gemeinsame Warnung herausgegeben: Staatlich geförderte Cyberakteure aus der Volksrepublik China greifen gezielt globale Telekommunikationsunternehmen an – auch in Kanada. Die unter dem Codenamen „Salt Typhoon“ bekannten Gruppen stehen im Verdacht, Teil einer groß angelegten Cyberspionagekampagne zu sein.

Bereits in der Vergangenheit hatten kanadische und internationale Sicherheitsbehörden darauf hingewiesen, dass chinesische Hacker Netzwerke großer Telekommunikationsanbieter weltweit kompromittiert haben. Nun gibt es Hinweise auf neue Angriffe in Kanada, bei denen erneut Unternehmen dieser Branche ins Visier geraten sind.

Mit dem aktuellen Cyber-Bulletin wollen die Behörden insbesondere die kanadische Telekommunikationsbranche für die anhaltende Bedrohung sensibilisieren. Ziel ist es, die Sicherheitsvorkehrungen weiter zu stärken und mögliche Angriffsflächen zu minimieren. Die Zusammenarbeit zwischen internationalen Partnern bleibt dabei ein zentrales Element zur Abwehr dieser staatlich gesteuerten Cyberaktivitäten.

Die Bedrohung für kanadische Organisationen

Das Cyber Centre ist sich der böswilligen Cyberaktivitäten bewusst, die derzeit gegen kanadische Telekommunikationsunternehmen gerichtet sind. Die verantwortlichen Akteure sind mit ziemlicher Sicherheit staatlich geförderte Akteure aus der VR China, insbesondere Salt Typhoon.

Mitte Februar 2025 wurden drei Netzwerkgeräte, die bei einem kanadischen Telekommunikationsunternehmen registriert waren, wahrscheinlich von Salt Typhoon-Akteuren kompromittiert. Die Akteure nutzten CVE-2023-20198 aus, um die laufenden Konfigurationsdateien von allen drei Geräten abzurufen, und änderten mindestens eine der Dateien, um einen GRE-Tunnel zu konfigurieren, der die Erfassung des Datenverkehrs aus dem Netzwerk ermöglichte.

In separaten Untersuchungen hat das Cyber Centre Überschneidungen mit bösartigen Indikatoren gefunden, die mit Salt Typhoon in Verbindung stehen und von unseren Partnern sowie durch Branchenberichte gemeldet wurden. Dies deutet darauf hin, dass diese Angriffe nicht nur auf den Telekommunikationssektor beschränkt sind. Durch das Anvisieren kanadischer Geräte können die Angreifer möglicherweise Informationen aus dem internen Netzwerk des Opfers sammeln oder das Gerät des Opfers nutzen, um weitere Opfer zu kompromittieren. In einigen Fällen gehen wir davon aus, dass sich die Aktivitäten der Angreifer höchstwahrscheinlich auf die Netzwerkaufklärung beschränkt haben.

Obwohl unser Verständnis dieser Aktivitäten sich weiterentwickelt, gehen wir davon aus, dass Cyberakteure aus der VR China im Rahmen dieser Spionagekampagne in den nächsten zwei Jahren mit ziemlicher Sicherheit weiterhin kanadische Organisationen ins Visier nehmen werden, darunter Telekommunikationsdienstleister und deren Kunden. Um diese Bedrohung zu überwachen und abzuwehren, empfehlen wir kanadischen Organisationen, die unten verlinkten Leitlinien zur Absicherung von Netzwerken, zu Sicherheitsaspekten für Edge-Geräte und zu weiteren Cyberbedrohungen im Zusammenhang mit der VR China zu konsultieren.

Die Bedrohung für die Telekommunikation

Telekommunikationsnetze gehören mit ziemlicher Sicherheit zu den wichtigsten Spionagezielen staatlich geförderter Cyberakteure. Feindlich gesinnte staatliche Akteure sind sehr wahrscheinlich auf den Zugang zu Telekommunikationsdienstleistern (TSPs) und Telekommunikationsnetzen auf der ganzen Welt als wichtige Quelle für die Sammlung von Auslandsinformationen angewiesen. TSPs transportieren Telekommunikationsdaten und sammeln und speichern große Mengen an Kundendaten, die für Geheimdienste von Interesse sind, darunter Kommunikations-, Standort- und Gerätedaten.

Staatlich geförderte Cyber-Bedrohungsakteure haben weltweit immer wieder TSPs kompromittiert, oft im Rahmen umfassender und langjähriger Geheimdienstprogramme, um große Mengen an Kundendaten zu exfiltrieren und Informationen über hochrangige Zielpersonen von Interesse, wie z. B. Regierungsbeamte, zu sammeln. Dazu gehören die Geolokalisierung und Verfolgung von Personen, die Überwachung von Telefonaten und das Abfangen von SMS-Nachrichten. Staatliche Akteure haben sich Zugang zu Telekommunikationsnetzen und Daten verschafft, indem sie Schwachstellen in Netzwerkgeräten wie Routern ausnutzten und unsichere Designs in den Systemen zum Routing, zur Abrechnung und zur Verwaltung der Kommunikation ausnutzten.

Im Jahr 2024 stellten Partneruntersuchungen fest, dass staatlich geförderte Cyber-Bedrohungsakteure aus der VR China die Netzwerke großer globaler TSPs, darunter US-Mobilfunkbetreiber, kompromittiert hatten, sehr wahrscheinlich im Rahmen einer gezielten Spionageoperation. Unseren Partnern zufolge konnten die Akteure Kundendaten aus den kompromittierten TSPs stehlen. Die Bedrohungsakteure sammelten auch die privaten Kommunikationen einer begrenzten Anzahl von Personen, die hauptsächlich in Regierungs- oder politischen Aktivitäten involviert waren.

Wir sind auch besorgt über die potenziellen Auswirkungen auf sensible Informationen von Kundenorganisationen, die direkt mit Telekommunikationsanbietern zusammenarbeiten. Cyber-Bedrohungsakteure aus der VR China versuchen häufig, vertrauenswürdige Dienstleister, darunter Telekommunikations-, Managed-Service- und Cloud-Dienstleister, zu kompromittieren, um indirekt auf Kundeninformationen oder Netzwerke zuzugreifen.

Cyberakteure aus der VR China nutzen Schwachstellen in Edge-Geräten aus

Wie wir im National Cyber Threat Assessment 2025-2026 feststellen, nutzen Cyber-Akteure Schwachstellen in Sicherheits- und Netzwerkgeräten aus, die sich am Rand von Netzwerken befinden, darunter Router, Firewalls und VPN-Lösungen (Virtual Private Network). Durch die Kompromittierung dieser Edge-Geräte kann ein Cyber-Akteur in ein Netzwerk eindringen, den über das Gerät fließenden Netzwerkverkehr überwachen, verändern und exfiltrieren oder sich möglicherweise tiefer in das Netzwerk des Opfers vorarbeiten.

Im Rahmen dieser Kampagne nehmen Cyberakteure aus der VR China diese Netzwerkgeräte ins Visier und nutzen bestehende Schwachstellen aus, um sich Zugang zu TSPs zu verschaffen und diesen aufrechtzuerhalten. Trotz öffentlicher Berichte über ihre Aktivitäten ist es sehr wahrscheinlich, dass die Akteure ihre Aktivitäten fortsetzen.

Nützliche Ressourcen

Weitere Informationen, nützliche Ratschläge und Anleitungen finden Sie in den folgenden Online-Ressourcen.

Reports and advisories

• Canada’s threat assessments
  • National Cyber Threat Assessment 2025-2026

• Advisories and partner publications
  • Enhanced Visibility and Hardening Guidance for Communications Infrastructure
  • Cyber threat bulletin: Cyber Centre urges Canadians to be aware of and protect against PRC cyber threat activity

Advice and guidance

• Cyber Security Readiness Goals (CRGs): Securing Our Most Critical Systems
• Cross-Sector Cyber Security Readiness Goals Toolkit
• Security Considerations for Edge Devices
• Joint guidance on enhanced visibility and hardening for communications infrastructure – Canadian Centre for Cyber Security
• People’s Republic of China activity targeting network edge routers: Observations and mitigation strategies

---

---