Χάκερ κινεζικών Volt Typhoon λειτουργούσαν απαρατήρητοι για 5 χρόνια σε κρίσιμη υποδομή των ΗΠΑ

Η κυβέρνηση των ΗΠΑ αποκάλυψε πρόσφατα ότι μια εξελιγμένη κινεζική κρατική ομάδα hacking, που προσδιορίζεται ως Volt Typhoon , κατάφερε να διεισδύσει σε δίκτυα κρίσιμης σημασίας υποδομής εντός των Ηνωμένων Πολιτειών και του Γκουάμ, παραμένοντας απαρατήρητη για μια εκπληκτική πενταετία. Αυτά τα κρίσιμα συστήματα που στοχεύουν το Volt Typhoon εκτείνονται σε διάφορους τομείς, συμπεριλαμβανομένων των επικοινωνιών, της ενέργειας, των μεταφορών και της διαχείρισης νερού και λυμάτων.

Αυτό που διακρίνει τις δραστηριότητες της Volt Typhoon είναι η αντισυμβατική προσέγγισή τους, που αποκλίνει από τις τυπικές επιχειρήσεις κατασκοπείας στον κυβερνοχώρο. Σύμφωνα με τις αρχές των ΗΠΑ, οι τακτικές του ομίλου υποδηλώνουν μια προμελετημένη προσπάθεια να εδραιωθεί στα δίκτυα πληροφορικής, επιτρέποντάς τους να ελιχθούν προς τα περιουσιακά στοιχεία της Επιχειρησιακής Τεχνολογίας (OT) με σκοπό να διαταράξουν βασικές λειτουργίες .

Η κοινή συμβουλευτική που εκδόθηκε από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA), την Υπηρεσία Εθνικής Ασφάλειας (NSA) και το Ομοσπονδιακό Γραφείο Ερευνών (FBI), μαζί με την υποστήριξη από τα κράτη της συμμαχίας πληροφοριών Five Eyes, υπογραμμίζει τη σοβαρότητα της κατάστασης. Αυτή η ομάδα hacking, εναλλακτικά γνωστή ως Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ή Voltzite, είναι ενεργή τουλάχιστον από τον Ιούνιο του 2021.

Ο τρόπος λειτουργίας του Volt Typhoon περιλαμβάνει τη χρήση προηγμένων τεχνικών όπως το «living off the land» (LotL), που τους επιτρέπει να λειτουργούν κρυφά συνδυάζοντας κακόβουλες δραστηριότητες με νόμιμη συμπεριφορά δικτύου. Επιπλέον, χρησιμοποιούν multi-hop proxies όπως το KV-botnet για να συσκοτίσουν την προέλευση των επιθέσεων τους, καθιστώντας την απόδοση πρόκληση.

Η CrowdStrike, μια εταιρεία κυβερνοασφάλειας, σημείωσε την εξάρτηση της Volt Typhoon σε μια εκτεταμένη σειρά εργαλείων ανοιχτού κώδικα προσαρμοσμένα σε συγκεκριμένα θύματα, επιδεικνύοντας υψηλό επίπεδο πολυπλοκότητας και στρατηγικού σχεδιασμού. Η ομάδα διεξάγει σχολαστικά αναγνωρίσεις, προσαρμόζει τις τακτικές της στα στοχευόμενα περιβάλλοντα και διατηρεί την επιμονή μέσω της χρήσης έγκυρων λογαριασμών και ισχυρών επιχειρησιακών μέτρων ασφαλείας.

Ένας από τους κύριους στόχους τους είναι να αποκτήσουν διαπιστευτήρια διαχειριστή εντός δικτύων, εκμεταλλευόμενοι τα ελαττώματα κλιμάκωσης προνομίων για να διευκολύνουν την πλευρική κίνηση και την αναγνώριση. Η μακροπρόθεσμη στρατηγική τους περιλαμβάνει τη διατήρηση της πρόσβασης σε παραβιασμένα περιβάλλοντα, τη συνεχή βελτίωση των τεχνικών τους για την αποφυγή του εντοπισμού και την επέκταση των μη εξουσιοδοτημένων προσβάσεων.

Εκτός από τα κλεμμένα διαπιστευτήρια, το Volt Typhoon χρησιμοποιεί τεχνικές LotL για να αποφύγει να αφήσει ίχνη κακόβουλου λογισμικού, ενισχύοντας τη μυστικότητα και τη λειτουργική τους ασφάλεια. Φτάνουν μέχρι τη διαγραφή στοχευμένων αρχείων καταγραφής για να αποκρύψουν τις ενέργειές τους σε περιβάλλοντα που έχουν παραβιαστεί, περιπλέκοντας περαιτέρω τις προσπάθειες για την αποκάλυψη των δραστηριοτήτων τους.

Αυτή η αποκάλυψη συμπίπτει με τα ευρήματα του Citizen Lab σχετικά με μια εκτεταμένη εκστρατεία επιρροής, που ονομάστηκε PAPERWALL, η οποία περιλαμβάνει πάνω από 123 ιστότοπους που υποδύονται τοπικά ειδησεογραφικά μέσα σε 30 χώρες. Αυτοί οι ιστότοποι, που συνδέονται με μια εταιρεία δημοσίων σχέσεων με έδρα το Πεκίνο με την επωνυμία Shenzhen Haimaiyunxiang Media Co., Ltd., διαδίδουν περιεχόμενο υπέρ της Κίνας ενώ αφαιρούν κρίσιμα άρθρα μετά τη δημοσίευσή τους.

Ενώ η κινεζική πρεσβεία στην Ουάσιγκτον απορρίπτει τους ισχυρισμούς για παραπληροφόρηση, αυτά τα περιστατικά υπογραμμίζουν την αυξανόμενη ανησυχία για τις ικανότητες στον κυβερνοχώρο της Κίνας και την επιρροή των επιχειρήσεων σε παγκόσμια κλίμακα.