Hiina Volt Typhoon häkkerid tegutsesid USA kriitilises infrastruktuuris 5 aastat avastamatult

USA valitsus avalikustas hiljuti, et keerukal Hiina riigi toetatud häkkimisrühmitusel, mille nimi on Volt Typhoon , õnnestus tungida USA ja Guami kriitilistesse infrastruktuurivõrkudesse, jäädes avastamata jahmatavad viis aastat. Need Volt Typhooni sihitud kriitilised süsteemid hõlmavad erinevaid sektoreid, sealhulgas side, energeetika, transport ning vee- ja reoveemajandus.

Volt Typhooni tegevust eristab ebatavaline lähenemine, mis erineb tüüpilistest küberspionaažioperatsioonidest. USA ametivõimude sõnul viitab grupi taktika ettekavatsetud jõupingutustele IT-võrkudes kanda kinnitada, võimaldades neil manööverdada operatiivtehnoloogia (OT) varade poole eesmärgiga häirida olulisi funktsioone .

Küberjulgeoleku ja infrastruktuuri turbeagentuuri (CISA), riikliku julgeolekuagentuuri (NSA) ja föderaalse juurdlusbüroo (FBI) ühine nõuanne koos viie silma luureliidu riikide toetusega rõhutab olukorra tõsidust. See häkkimisrühmitus, teise nimega Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda või Voltzite, on tegutsenud vähemalt 2021. aasta juunist.

Volt Typhooni toimimisviis hõlmab täiustatud tehnikate kasutamist, nagu "maast elamine" (LotL), võimaldades neil tegutseda varjatult, segades pahatahtlikud tegevused legitiimse võrgukäitumisega. Lisaks kasutavad nad mitme hüppega puhverservereid, nagu KV-botnet, et hägustada oma rünnakute päritolu, muutes omistamise keeruliseks.

Küberjulgeolekufirma CrowdStrike märkis, et Volt Typhoon tugineb suurele hulgale avatud lähtekoodiga tööriistadele, mis on kohandatud konkreetsetele ohvritele, mis näitab kõrget keerukuse ja strateegilise planeerimise taset. Rühm viib hoolikalt läbi luuret, kohandab oma taktikat sihtkeskkondadele ning säilitab püsivuse, kasutades kehtivaid kontosid ja tugevaid operatiivseid turvameetmeid.

Üks nende peamisi eesmärke on hankida võrkudes administraatori mandaadid, kasutades ära privileegide eskalatsiooni vigu, et hõlbustada külgsuunalist liikumist ja tutvumist. Nende pikaajaline strateegia hõlmab juurdepääsu säilitamist ohustatud keskkondadele, oma tehnikate pidevat täiustamist, et vältida tuvastamist ja laiendada volitamata juurdepääsu.

Lisaks varastatud mandaatidele kasutab Volt Typhoon LotL-i tehnikaid, et vältida pahavara jälgede jätmist, suurendades nende varguse ja tööturvalisuse. Nad ulatuvad sihitud logide kustutamiseni, et varjata oma tegevust ohustatud keskkondades, mis muudab veelgi keerulisemaks jõupingutused nende tegevuste paljastamiseks.

See ilmutus langeb kokku Citizen Labi järeldustega, mis puudutavad laialdast mõjutuskampaaniat, nimega PAPERWALL, mis hõlmab enam kui 123 veebisaiti, mis kehastavad kohalikke uudiseid 30 riigis. Need veebisaidid, mis on lingitud Pekingis asuva suhtekorraldusfirmaga Shenzhen Haimaiyunxiang Media Co., Ltd., levitavad Hiina-meelset sisu, eemaldades samas pärast avaldamist kriitilised artiklid.

Kuigi Hiina saatkond Washingtonis lükkab ümber väited desinformatsiooni levitamise kohta, rõhutavad need juhtumid kasvavat muret Hiina kübervõimekuse ja globaalsete operatsioonide mõjutamise pärast.