قراصنة إعصار فولت الصيني عملوا دون أن يتم اكتشافهم لمدة 5 سنوات في البنية التحتية الحيوية للولايات المتحدة

كشفت حكومة الولايات المتحدة مؤخرًا أن مجموعة قرصنة صينية متطورة ترعاها الدولة، تُعرف باسم فولت تايفون ، تمكنت من التسلل إلى شبكات البنية التحتية الحيوية داخل الولايات المتحدة وغوام، وظلت دون أن يتم اكتشافها لمدة خمس سنوات مذهلة. تمتد هذه الأنظمة الحيوية التي تستهدفها Volt Typhoon عبر قطاعات مختلفة بما في ذلك الاتصالات والطاقة والنقل وإدارة المياه والصرف الصحي.

ما يميز أنشطة Volt Typhoon هو نهجها غير التقليدي، الذي يختلف عن عمليات التجسس السيبراني النموذجية. وفقًا للسلطات الأمريكية، تشير تكتيكات المجموعة إلى جهد متعمد لإنشاء موطئ قدم داخل شبكات تكنولوجيا المعلومات، وتمكينها من المناورة نحو أصول التكنولوجيا التشغيلية (OT) بقصد تعطيل الوظائف الأساسية .

إن الاستشارة المشتركة الصادرة عن وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ووكالة الأمن القومي (NSA)، ومكتب التحقيقات الفيدرالي (FBI)، إلى جانب الدعم من دول تحالف Five Eyes الاستخباراتي، تسلط الضوء على خطورة الوضع. مجموعة القرصنة هذه، والمعروفة أيضًا باسم Bronze Silhouette أو Insidious Taurus أو UNC3236 أو Vanguard Panda أو Voltzite، نشطة منذ يونيو 2021 على الأقل.

تتضمن طريقة عمل Volt Typhoon استخدام تقنيات متقدمة مثل "العيش خارج الأرض" (LotL)، مما يسمح لها بالعمل سرًا عن طريق مزج الأنشطة الضارة مع سلوك الشبكة المشروع. علاوة على ذلك، فإنهم يستخدمون وكلاء متعددي القفزات مثل KV-botnet للتعتيم على أصول هجماتهم، مما يجعل الإسناد أمرًا صعبًا.

لاحظت شركة CrowdStrike، وهي شركة للأمن السيبراني، اعتماد Volt Typhoon على مجموعة واسعة من الأدوات مفتوحة المصدر المصممة خصيصًا لضحايا محددين، مما يدل على مستوى عالٍ من التطور والتخطيط الاستراتيجي. وتقوم المجموعة بعمليات استطلاع دقيقة، وتصمم تكتيكاتها لتتناسب مع البيئات المستهدفة، وتحافظ على المثابرة من خلال استخدام حسابات صحيحة وتدابير أمنية تشغيلية قوية.

أحد أهدافهم الأساسية هو الحصول على بيانات اعتماد المسؤول داخل الشبكات، واستغلال عيوب تصعيد الامتيازات لتسهيل الحركة الجانبية والاستطلاع. تتضمن استراتيجيتهم طويلة المدى الحفاظ على الوصول إلى البيئات المخترقة، والتحسين المستمر لتقنياتهم لتجنب الكشف وتوسيع عمليات الوصول غير المصرح بها.

بالإضافة إلى بيانات الاعتماد المسروقة، تستخدم Volt Typhoon تقنيات LotL لتجنب ترك آثار للبرامج الضارة، مما يعزز أمانها الخفي والتشغيلي. ويذهبون إلى حد حذف السجلات المستهدفة لإخفاء أفعالهم داخل البيئات المعرضة للخطر، مما يزيد من تعقيد الجهود المبذولة للكشف عن أنشطتهم.

يتزامن هذا الكشف مع النتائج التي توصل إليها Citizen Lab فيما يتعلق بحملة تأثير واسعة النطاق، يطلق عليها اسم PAPERWALL، والتي تشمل أكثر من 123 موقعًا ينتحل صفة منافذ إخبارية محلية في 30 دولة. تنشر هذه المواقع، المرتبطة بشركة علاقات عامة مقرها بكين تدعى Shenzhen Haimaiyunxiang Media Co., Ltd.، محتوى مؤيدًا للصين مع إزالة المقالات الانتقادية بعد النشر.

وفي حين ترفض السفارة الصينية في واشنطن مزاعم التضليل، فإن هذه الحوادث تؤكد القلق المتزايد بشأن قدرات الصين السيبرانية وتأثيرها على العمليات على نطاق عالمي.