Online-Kriminelle haben mit Künstlicher Intelligenz eine mächtige neue Waffe bekommen. So wurde der KI-Chatbot Claude der Entwicklerfirma Anthropic bereits verwendet, um in Netzwerke einzudringen, Daten zu erbeuten und sie auszuwerten. Zudem hätten die Angreifer die Software benutzt, um „psychologisch zielgerichtete“ Erpressungsnachrichten an die Opfer zu schreiben, berichtete Anthropic. Der Angreifer habe damit gedroht, gestohlene Informationen zu veröffentlichen, und zum Teil mehr als 500.000 Dollar von den Betroffenen verlangt.

Cyberangriff im Alleingang dank KI

Ziel der automatisierten Attacke seien allein im vergangenen Monat 17 Unternehmen und Organisationen aus Bereichen wie Gesundheitswesen, Regierung und Religion geworden, hieß es. Claude habe dabei zum Beispiel nach Schwachstellen gesucht sowie bei der Entscheidung geholfen, wie ein Netzwerk am besten angegriffen werden kann und welche Daten entwendet werden sollten.

Üblicherweise hätte man für eine solche Aktion ein Team aus Experten gebraucht, sagte der zuständige Anthropic-Manager Jacob Klein dem Tech-Blog „The Verge“. Nun könne das eine Person mit Hilfe Künstlicher Intelligenz bewerkstelligen. Neuere KI-Systeme können auch als „Agenten“ im Auftrag von Nutzern agieren und weitgehend eigenständig Aufgaben für die erledigen.

Nordkoreaner machten Homeoffice für US-Firmen

Anthropic listete in einem ausführlichen Papier auch weitere Fälle auf, in denen Claude für Online-Kriminalität missbraucht wurde. So sei der Chatbot zum Einsatz gekommen, als sich Nordkoreaner Homeoffice-Jobs als Programmierer in US-Unternehmen erschlichen, um Geld für die Regierung reinzuholen. Sie hätten sich dabei auf die KI-Software verlassen, um mit ihren Arbeitgebern zu kommunizieren – und auch um ihre Aufgaben zu erledigen. Dabei hätten sie augenscheinlich nicht genug Ahnung von Software-Entwicklung gehabt, um den Job ohne Hilfe von Claude auszuüben, stellte Anthropic fest. Früher habe Nordkorea dafür jahrelang Experten ausgebildet. „Aber durch KI fiel diese Einschränkung weg.“

Betrug aus dem Chatbot

Außerdem entwickelten Cyberkriminelle mit Hilfe von Claude Betrugsmaschen, die sie im Netz zum Kauf anboten. Dazu gehörte laut Anthropic ein Bot für die Plattform Telegram zum Beziehungsbetrug – wobei den Opfern etwa eine romantische Verbindung vorgegaukelt wird, um Geld von ihnen zu erbeuten. Damit könne man Chats „mit hoher emotionaler Intelligenz“ in verschiedenen Sprachen führen, hieß es.

Man habe zwar ausgeklügelte Maßnahmen gegen einen Missbrauch der KI-Software im Einsatz, betonte Anthropic. Online-Angreifer versuchten aber immer wieder, sie zu umgehen. Mit der Erfahrung aus den ausgewerteten Fällen solle der Schutz verbessert werden.

(dmk)

In den letzten Jahren sind immer wieder Cyberangriffe von mutmaßlich chinesischen Akteuren auf internationale Netzwerksysteme bekannt geworden. Dabei konnten die wohl staatlich unterstützten Cyberangreifer die globale Telekommunikationsinfrastruktur infiltrieren und ausspähen. Dagegen haben sich die Sicherheitsbehörden verschiedener Länder verbündet und jetzt einen gemeinsamen und umfassenden Cybersicherheitsleitfaden veröffentlicht, der das Vorgehen der Angreifer beschreibt, Hinweise zur Entdeckung der Attacken gibt und Gegenmaßnahmen empfiehlt.

Vielen dieser Cyberangriffe gemein ist das Ausnutzen bereits bekannter, aber vom Betreiber nicht geschlossener Sicherheitslücken. Das war kürzlich auch bei einem nordamerikanischen Telekommunikationsanbieter der Fall. Cyberkriminelle nutzten eine ungepatchte Cisco-Sicherheitslücke als Einfallstor zu einem kanadischen Provider. Cisco hatte nach Bekanntwerden der Lücke eine aktualisierte Software bereitgestellt, aber der Telko-Anbieter hat diese offenbar über ein Jahr lang nicht installiert.

Sicherheitswarnung vor Salt Typhoon und anderen Cybergangs

Das ist einer der Gründe, warum sich Sicherheitsbehörden aus Australien, Kanada, Neuseeland, Großbritannien, der Tschechischen Republik, Finnland, Deutschland, Italien, Japan, den Niederlanden, Polen sowie den USA zusammengetan und eine gemeinsame Cybersicherheitsempfehlung herausgegeben haben. Aus Deutschland waren der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) beteiligt.

Das bislang nur auf Englisch verfügbare „Joint Cybersecurity Advisory“ nennt als Hauptakteure die Gruppen „Salt Typhoon“, „OPERATOR PANDA“, „RedMike“, „UNC5807“ und „GhostEmperor“. Demnach wurden Aktivitäten dieser sogenannten APT-Akteure (Advanced Persistent Threat) in den USA, Australien, Kanada, Neuseeland und Großbritannien entdeckt, aber sie sollen auch andernorts weltweit tätig sein. Die Angreifer modifizieren vielfach Router, um ständigen und langfristigen Zugang zu den Netzwerken zu erlangen.

Das Bundesamt für Verfassungsschutz und das BSI greifen sich Salt Typhoon als Hauptakteur für den gemeinsamen Sicherheitshinweis heraus. Diese Gruppe ist demnach auch bekannt als GhostEmperor und FamousSparrow, denn die Cybergangs haben international unterschiedliche Namen. Hauptziele dieser Cyberkriminellen liegen bei der Telekommunikationsinfrastruktur. Sind die Angreifer in die Netzwerke eingedrungen, erlaubt es etwa den mit den Hackern verbundenen chinesischen Geheimdiensten, die Kommunikation einzelner Zielpersonen sowie deren Standorte zu überwachen.

Professionelle Cybergangs nicht nur gegen Telko-Anbieter

Die Sicherheitsforscher von Googles „Threat Intelligence Group“ betonen die außerordentliche „Vertrautheit dieses Akteurs mit Telekommunikationssystemen“, was es Salt Typhoon erleichtert, nach einem erfolgreichen Einbruch in die Netzwerke nicht entdeckt zu werden. „Viele der besonders erfolgreichen chinesischen Cyber-Spionageakteure, denen wir begegnen, verfügen über tiefgehendes Fachwissen in den Technologien“, erklärt John Hultquist, Chefanalyst der Google Threat Intelligence Group.

Hultquist hebt zudem die geschäftsmäßige Organisation dieser Cybergang hervor. „Ein Ökosystem aus Auftragnehmern, Akademikern und anderen Unterstützern bildet das Herzstück der chinesischen Cyber-Spionage“, führt er fort. „Auftragnehmer werden eingesetzt, um Werkzeuge und wertvolle Exploits zu entwickeln sowie die schmutzige Arbeit von Eindringungsoperationen durchzuführen. Sie waren entscheidend für die schnelle Weiterentwicklung dieser Operationen und ihre Ausweitung auf ein beispielloses Ausmaß.“

Neben der Telekommunikationsinfrastruktur haben die Angreifer mit Verbindung zur chinesischen Regierung aber auch andere Branchen im Visier. Denn auch der „Gastgewerbe- und Transportsektor könnte dazu genutzt werden, Einzelpersonen engmaschig zu überwachen“, so Hultquist weiter. „Informationen aus diesen Branchen können verwendet werden, um ein vollständiges Bild davon zu erstellen, mit wem jemand spricht, wo er sich aufhält und wohin er unterwegs ist.“

(fds)

Im Webbrowser Google Chrome haben die Entwickler eine Sicherheitslücke geschlossen, die als kritisches Risiko eingestuft wurde. Wer den Browser einsetzt, sollte sicherstellen, die jüngste Version zu nutzen.

In der Versionsankündigung bleibt Google bekannt schmallippig zu den Details der Schwachstelle. Es handelt sich um einen „Use after free“-Fehler, bei dem der Programmcode auf Ressourcen zugreift, die bereits freigegeben wurden und somit undefinierte Inhalte aufweisen. Dieser Fehler findet sich im WebGL-Render-Backend Angle (CVE-2025-9478 / EUVD-2025-25822, noch kein CVSS, Risiko laut Google jedoch „kritisch„). Der CVE-Eintrag verrät immerhin, dass Angreifer aus dem Netz einen Speicherfehler auf dem Heap etwa mit sorgsam präparierten HTML-Webseiten missbrauchen können – oftmals gelingt darüber das Einschleusen und Ausführen von Schadcode, was aufgrund des Schweregrads auch hier anzunehmen ist.

In den Versionen Google Chrome 139.0.7258.158 für Android, 139.0.7258.154 für Linux sowie 139.0.7258.154/.155 für macOS und Windows haben die Entwickler die Schwachstelle ausgebessert. Das Update steht nun zum Download bereit.

Versionsprüfungen

Ob die aktuelle Fassung des Webbrowsers läuft, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Symbol mit drei aufgestapelten Punkten rechts von der Adressleiste. Dort geht es weiter über „Hilfe“ – „Über Google Chrome“.

Bei Verfügbarkeit von aktualisierter Software startet das auch den Update-Prozess. Unter Linux ist dafür die distributionseigene Softwareverwaltung zuständig. Unter Android steht die Aktualisierung im Google Play Store bereit – jedoch nicht sofort für alle Smartphones. Die Lücke betrifft das Chromium-Projekt und dürfte somit darauf fußende Software wie den Microsoft-Edge-Browser ebenfalls anfällig machen. Dafür dürfte in Kürze ebenfalls ein Update bereitstehen, das Nutzerinnen und Nutzer zeitnah installieren sollten.

Zuletzt musste Google Mitte Juli eine bereits attackierte Schwachstelle im Chrome-Webbrowser abdichten.

(dmk)