هکرهای چینی ولت تایفون به مدت 5 سال در زیرساخت های حیاتی ایالات متحده ناشناخته عمل کردند
![](https://www.enigmasoftware.com/images/2024/china-volt-typhoon-hackers-5-years-attack-us-infrastructure.jpg)
دولت ایالات متحده اخیرا فاش کرده است که یک گروه پیشرفته هکری تحت حمایت دولت چین، به نام Volt Typhoon ، توانسته به شبکههای زیرساختی حیاتی در ایالات متحده و گوام نفوذ کند و برای پنج سال حیرتانگیز ناشناخته باقی بماند. این سیستمهای حیاتی که توسط Volt Typhoon مورد هدف قرار گرفتهاند، در بخشهای مختلفی از جمله ارتباطات، انرژی، حملونقل و مدیریت آب و فاضلاب گسترده میشوند.
آنچه فعالیتهای Volt Typhoon را متمایز میکند، رویکرد غیر متعارف آن است که از عملیاتهای جاسوسی سایبری معمولی فاصله دارد. به گفته مقامات ایالات متحده، تاکتیک های این گروه حاکی از تلاشی از پیش برنامه ریزی شده برای ایجاد جای پایی در شبکه های IT است که آنها را قادر می سازد تا به سمت دارایی های فناوری عملیاتی (OT) با هدف ایجاد اختلال در عملکردهای اساسی مانور دهند .
مشاوره مشترک منتشر شده توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA)، آژانس امنیت ملی (NSA) و اداره تحقیقات فدرال (FBI)، همراه با حمایت کشورهای اتحاد اطلاعاتی Five Eyes، وخامت وضعیت را برجسته می کند. این گروه هکری که با نامهای برنز سیلوئت، ثور موذی، UNC3236، پاندا پیشتاز یا ولتزیت شناخته میشود، حداقل از ژوئن 2021 فعال بوده است.
روش عملیات Volt Typhoon شامل استفاده از تکنیکهای پیشرفته مانند «زندگی در زمین» (LotL) است که به آنها اجازه میدهد تا با ترکیب فعالیتهای مخرب با رفتار شبکه مشروع به صورت مخفیانه عمل کنند. علاوه بر این، آنها از پراکسیهای چند هاپ مانند KV-botnet استفاده میکنند تا منشأ حملات خود را مبهم کنند، و انتساب را به چالش بکشند.
CrowdStrike، یک شرکت امنیت سایبری، به اتکای Volt Typhoon به مجموعه گسترده ای از ابزارهای منبع باز متناسب با قربانیان خاص اشاره کرد که نشان دهنده سطح بالایی از پیچیدگی و برنامه ریزی استراتژیک است. این گروه به دقت شناسایی را انجام میدهد، تاکتیکهای خود را برای محیطهای هدف تنظیم میکند، و با استفاده از حسابهای معتبر و اقدامات امنیتی عملیاتی قوی، پایداری خود را حفظ میکند.
یکی از اهداف اصلی آنها به دست آوردن اعتبار مدیر در شبکه ها، بهره برداری از نقص های افزایش امتیاز برای تسهیل حرکت جانبی و شناسایی است. استراتژی بلندمدت آنها شامل حفظ دسترسی به محیطهای در معرض خطر، اصلاح مداوم تکنیکهایشان برای فرار از شناسایی و گسترش دسترسیهای غیرمجاز است.
علاوه بر اعتبارنامه های سرقت شده، Volt Typhoon از تکنیک های LotL برای جلوگیری از باقی ماندن رد بدافزارها استفاده می کند و امنیت عملیاتی و مخفیانه آنها را افزایش می دهد. آنها تا آنجا پیش میروند که لاگهای هدفمند را حذف میکنند تا اقدامات خود را در محیطهای در معرض خطر پنهان کنند، که تلاشها برای کشف فعالیتهایشان را پیچیدهتر میکند.
این افشاگری با یافتههای آزمایشگاه شهروند در مورد یک کمپین نفوذ گسترده، به نام PAPERWALL، که شامل بیش از 123 وبسایت جعل هویت رسانههای خبری محلی در 30 کشور است، همزمان است. این وب سایت ها که به یک شرکت روابط عمومی مستقر در پکن به نام Shenzhen Haimaiyunxiang Media Co. Ltd. مرتبط هستند، محتوای طرفدار چین را منتشر می کنند و در عین حال مقالات انتقادی را پس از انتشار حذف می کنند.
در حالی که سفارت چین در واشنگتن ادعاهای مربوط به اطلاعات نادرست را رد می کند، این حوادث بر نگرانی فزاینده در مورد قابلیت های سایبری چین و نفوذ بر عملیات در مقیاس جهانی تأکید می کند.