Čínští hackeři Volt Typhoon operovali bez detekce po dobu 5 let v kritické americké infrastruktuře

Americká vláda nedávno odhalila, že sofistikované hackerské skupině podporované čínským státem, identifikované jako Volt Typhoon , se podařilo infiltrovat sítě kritické infrastruktury ve Spojených státech a na Guamu, přičemž zůstala neodhalena ohromujících pět let. Tyto kritické systémy, na které se zaměřuje Volt Typhoon, pokrývají různá odvětví včetně komunikací, energetiky, dopravy a hospodaření s vodou a odpadními vodami.

To, co odlišuje aktivity Volta Typhoonu, je jejich nekonvenční přístup, který se liší od typických kybernetických špionážních operací. Podle amerických úřadů taktika skupiny naznačuje předem promyšlenou snahu vytvořit oporu v IT sítích, což jim umožní manévrovat směrem k provozním technologiím (OT) s úmyslem narušit základní funkce .

Společné doporučení vydané Agenturou pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národní bezpečnostní agenturou (NSA) a Federálním úřadem pro vyšetřování (FBI) spolu s podporou zemí zpravodajské aliance Five Eyes zdůrazňuje závažnost situace. Tato hackerská skupina, alternativně známá jako Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda nebo Voltzite, je aktivní minimálně od června 2021.

Modus operandi Volt Typhoon zahrnuje využití pokročilých technik, jako je „život z půdy“ (LotL), které jim umožňují pracovat skrytě tím, že spojují škodlivé aktivity s legitimním chováním sítě. Kromě toho používají multi-hop proxy, jako je KV-botnet, aby zamlžovali původ svých útoků, takže atribuce je náročná.

CrowdStrike, firma zabývající se kybernetickou bezpečností, si všimla, že Volt Typhoon spoléhá na rozsáhlou řadu open source nástrojů přizpůsobených konkrétním obětem, což prokázalo vysokou úroveň sofistikovanosti a strategického plánování. Skupina pečlivě provádí průzkum, přizpůsobuje svou taktiku cílovému prostředí a udržuje vytrvalost pomocí platných účtů a silných provozních bezpečnostních opatření.

Jedním z jejich primárních cílů je získat pověření administrátora v rámci sítí a využít nedostatky v eskalaci oprávnění k usnadnění bočního pohybu a průzkumu. Jejich dlouhodobá strategie zahrnuje udržování přístupu do ohrožených prostředí, neustálé zdokonalování jejich technik, aby se vyhnuli detekci a rozšířili neoprávněné přístupy.

Kromě odcizených přihlašovacích údajů používá Volt Typhoon techniky LotL, aby se zabránilo zanechání stop malwaru, čímž se zvýší jejich utajení a provozní bezpečnost. Zacházejí tak daleko, že vymazávají cílené protokoly, aby skryli své akce v kompromitovaných prostředích, což dále komplikuje úsilí o odhalení jejich aktivit.

Toto odhalení se shoduje se zjištěními Citizen Lab týkající se rozsáhlé kampaně zaměřené na vliv, nazvané PAPERWALL, zahrnující více než 123 webových stránek vydávajících se za místní zpravodajské kanály ve 30 zemích. Tyto webové stránky, propojené s PR firmou se sídlem v Pekingu jménem Shenzhen Haimaiyunxiang Media Co., Ltd., šíří pročínský obsah a po zveřejnění odstraňují kritické články.

Zatímco čínské velvyslanectví ve Washingtonu odmítá obvinění z dezinformací, tyto incidenty podtrhují rostoucí znepokojení nad čínskými kybernetickými schopnostmi a ovlivňováním operací v celosvětovém měřítku.