Chinese zouttyfoon infiltreerde maandenlang netwerk van Amerikaanse Nationale Garde

Een geavanceerde Chinese APT-groep, Salt Typhoon , infiltreerde met succes het netwerk van de Army National Guard van de Amerikaanse staat gedurende bijna een jaar, van maart 2024 tot december 2024. Deze inbreuk, gedetailleerd beschreven in een memo van het Department of Homeland Security (DHS) van juni,

Hoewel dit zorgen baart over de veiligheid van het Amerikaanse leger en kritieke infrastructuursystemen, komt de aanval niet geheel onverwacht. Volgens Hackread.com hebben infostealers, die al voor $10 beschikbaar zijn, al zeer gevoelige systemen van het Amerikaanse leger en zelfs de FBI gecompromitteerd.

Het memo van het DHS , dat zijn informatie ontleende aan een rapport van het Ministerie van Defensie (DOD) en later werd gedeeld met NBC News via een verzoek om informatievrijheid van de non-profitorganisatie Property of the People, die zich bezighoudt met transparantie op het gebied van nationale veiligheid, onthulde dat Salt Typhoon het netwerk "uitgebreid had gecompromitteerd". Hoewel de specifieke staat niet werd genoemd, stelde de aanval de hackers in staat om cruciale informatie te verzamelen.

Tijdens hun langdurige toegang slaagde Salt Typhoon erin gevoelige gegevens te verzamelen, waaronder netwerkconfiguraties en details van dataverkeer met eenheden van de Nationale Garde in elke andere Amerikaanse staat en minstens vier Amerikaanse territoria. Cruciaal was dat deze gestolen informatie ook beheerdersreferenties en netwerkdiagrammen bevatte, die gebruikt konden worden om toekomstige aanvallen op andere eenheden van de Nationale Garde te vergemakkelijken.

De gestolen gegevens omvatten ook geografische locatiekaarten en persoonlijk identificeerbare informatie (PII) van militairen. In zo'n 14 staten werken eenheden van de Nationale Garde nauw samen met "fusiecentra" voor het delen van inlichtingen, wat betekent dat de inbreuk een grotere impact zou kunnen hebben, aldus het memo.

Het is opmerkelijk dat Salt Typhoon (ook bekend als GhostEmperor, FamousSparrow, Earth Estries en UNC2286) vaker aanvallen uitvoert op de Amerikaanse overheid en kritieke infrastructuursectoren, waaronder energie, communicatie, transport en watersystemen.

Zoals Hackread.com eerder meldde, werd Salt Typhoon in november 2024 in verband gebracht met een grote hack van T-Mobile, waarbij kwetsbaarheden in telecomsystemen aan het licht kwamen. Tot nu toe heeft de groep minstens acht grote Amerikaanse internet- en telefoonproviders gehackt, waaronder AT&T en Verizon .

Deze toegangspunten zouden gebruikt zijn om de communicatie van prominente politieke figuren te monitoren, waaronder de presidentscampagnes van Harris en Trump en het kantoor van senator Chuck Schumer.

In juni 2025 waarschuwden de FBI en het Canadese Cyber Centre in een advies voor de wereldwijde campagne van Salt Typhoon tegen telecomnetwerken. Daarbij misbruiken ze kwetsbaarheden zoals CVE-2023-20198 in apparaten om gegevens te stelen en heimelijke toegang te verkrijgen.

Gezien de complexiteit van de eenheden van de Nationale Garde, die zowel onder federaal als staatsgezag opereren, kan het incident meer aanknopingspunten opleveren voor mogelijke cyberaanvallen. Het Ministerie van Defensie heeft geen commentaar gegeven op de details, maar een woordvoerder van het Bureau van de Nationale Garde bevestigde de inbreuk en merkte op dat het geen gevolgen heeft gehad voor hun missies.

"DHS blijft dit soort aanvallen analyseren en werkt nauw samen met de Nationale Garde en andere partners om toekomstige aanvallen te voorkomen en risico's te beperken", aldus een woordvoerder van DHS.

Ondertussen ontkende de woordvoerder van de Chinese ambassade in Washington de campagne niet, maar benadrukte dat de VS geen sluitend bewijs heeft dat Salt Typhoon aan de Chinese overheid gelinkt is. Desondanks adviseren cybersecurity-experts om netwerkapparaten te beveiligen, sterkere wachtwoordbeleid te implementeren en sterke encryptie in te schakelen om dergelijke bedreigingen tegen te gaan.

"Volt Typhoon richt zich op het voorbereiden op verstoring en het creëren van een afschrikwekkend effect op basis daarvan, terwijl Salt Typhoon zich richt op positionering voor het verzamelen van inlichtingen", aldus Casey Ellis , oprichter van Bugcrowd, een in San Francisco gevestigde leider op het gebied van crowdsourced cybersecurity.

"Een inbraak in een Nationale Garde is geen 'militaire' operatie. Staten schakelen hun Nationale Garde regelmatig in om te helpen bij de cyberverdediging van civiele infrastructuur. Als doelwit zouden ze een rijke bron van allerlei nuttige inlichtingen vormen", betoogde Casey.

"Inlichtingen zijn bepalend voor actie, dus hoewel de aankondiging van de Volt Typhoon bemoedigend is, is het belangrijk om te onthouden dat we hier in feite een enorm spelletje mollenmeppen spelen. Waakzaamheid en voortdurende inspanningen om veerkracht te vergroten zijn essentieel voor binnenlandse verdedigers van alle soorten," adviseerde hij.