هکرهای چینی ولت تایفون به مدت 5 سال در زیرساخت های حیاتی ایالات متحده ناشناخته عمل کردند

دولت ایالات متحده اخیرا فاش کرده است که یک گروه پیشرفته هکری تحت حمایت دولت چین، به نام Volt Typhoon ، توانسته به شبکه‌های زیرساختی حیاتی در ایالات متحده و گوام نفوذ کند و برای پنج سال حیرت‌انگیز ناشناخته باقی بماند. این سیستم‌های حیاتی که توسط Volt Typhoon مورد هدف قرار گرفته‌اند، در بخش‌های مختلفی از جمله ارتباطات، انرژی، حمل‌ونقل و مدیریت آب و فاضلاب گسترده می‌شوند.

آنچه فعالیت‌های Volt Typhoon را متمایز می‌کند، رویکرد غیر متعارف آن است که از عملیات‌های جاسوسی سایبری معمولی فاصله دارد. به گفته مقامات ایالات متحده، تاکتیک های این گروه حاکی از تلاشی از پیش برنامه ریزی شده برای ایجاد جای پایی در شبکه های IT است که آنها را قادر می سازد تا به سمت دارایی های فناوری عملیاتی (OT) با هدف ایجاد اختلال در عملکردهای اساسی مانور دهند .

مشاوره مشترک منتشر شده توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA) و اداره تحقیقات فدرال (FBI)، همراه با حمایت کشورهای اتحاد اطلاعاتی Five Eyes، وخامت وضعیت را برجسته می کند. این گروه هکری که با نام‌های برنز سیلوئت، ثور موذی، UNC3236، پاندا پیشتاز یا ولتزیت شناخته می‌شود، حداقل از ژوئن 2021 فعال بوده است.

روش عملیات Volt Typhoon شامل استفاده از تکنیک‌های پیشرفته مانند «زندگی در زمین» (LotL) است که به آنها اجازه می‌دهد تا با ترکیب فعالیت‌های مخرب با رفتار شبکه مشروع به صورت مخفیانه عمل کنند. علاوه بر این، آنها از پراکسی‌های چند هاپ مانند KV-botnet استفاده می‌کنند تا منشأ حملات خود را مبهم کنند، و انتساب را به چالش بکشند.

CrowdStrike، یک شرکت امنیت سایبری، به اتکای Volt Typhoon به مجموعه گسترده ای از ابزارهای منبع باز متناسب با قربانیان خاص اشاره کرد که نشان دهنده سطح بالایی از پیچیدگی و برنامه ریزی استراتژیک است. این گروه به دقت شناسایی را انجام می‌دهد، تاکتیک‌های خود را برای محیط‌های هدف تنظیم می‌کند، و با استفاده از حساب‌های معتبر و اقدامات امنیتی عملیاتی قوی، پایداری خود را حفظ می‌کند.

یکی از اهداف اصلی آنها به دست آوردن اعتبار مدیر در شبکه ها، بهره برداری از نقص های افزایش امتیاز برای تسهیل حرکت جانبی و شناسایی است. استراتژی بلندمدت آن‌ها شامل حفظ دسترسی به محیط‌های در معرض خطر، اصلاح مداوم تکنیک‌هایشان برای فرار از شناسایی و گسترش دسترسی‌های غیرمجاز است.

علاوه بر اعتبارنامه های سرقت شده، Volt Typhoon از تکنیک های LotL برای جلوگیری از باقی ماندن رد بدافزارها استفاده می کند و امنیت عملیاتی و مخفیانه آنها را افزایش می دهد. آن‌ها تا آنجا پیش می‌روند که لاگ‌های هدفمند را حذف می‌کنند تا اقدامات خود را در محیط‌های در معرض خطر پنهان کنند، که تلاش‌ها برای کشف فعالیت‌هایشان را پیچیده‌تر می‌کند.

این افشاگری با یافته‌های آزمایشگاه شهروند در مورد یک کمپین نفوذ گسترده، به نام PAPERWALL، که شامل بیش از 123 وب‌سایت جعل هویت رسانه‌های خبری محلی در 30 کشور است، همزمان است. این وب سایت ها که به یک شرکت روابط عمومی مستقر در پکن به نام Shenzhen Haimaiyunxiang Media Co. Ltd. مرتبط هستند، محتوای طرفدار چین را منتشر می کنند و در عین حال مقالات انتقادی را پس از انتشار حذف می کنند.

در حالی که سفارت چین در واشنگتن ادعاهای مربوط به اطلاعات نادرست را رد می کند، این حوادث بر نگرانی فزاینده در مورد قابلیت های سایبری چین و نفوذ بر عملیات در مقیاس جهانی تأکید می کند.