Kiinan Volt Typhoon -hakkerit toimivat havaitsematta 5 vuotta kriittisessä Yhdysvaltain infrastruktuurissa

Yhdysvaltain hallitus paljasti äskettäin, että hienostunut Kiinan valtion tukema hakkerointiryhmä, joka tunnetaan nimellä Volt Typhoon , onnistui soluttautumaan kriittisiin infrastruktuuriverkkoihin Yhdysvalloissa ja Guamissa jääden havaitsematta hämmästyttävän viiden vuoden ajan. Nämä Volt Typhoonin kohdistamat kriittiset järjestelmät kattavat eri sektoreita, mukaan lukien viestintä, energia, liikenne sekä vesi- ja jätevesihuolto.

Volt Typhoonin toiminnan erottaa sen epätavallinen lähestymistapa, joka poikkeaa tyypillisistä kybervakoiluoperaatioista. Yhdysvaltain viranomaisten mukaan ryhmän taktiikka viittaa ennalta harkittuun pyrkimykseen saada jalansijaa IT-verkoissa, jotta ne voivat liikkua kohti Operational Technology (OT) -omaisuutta keskeisten toimintojen häiritsemiseksi .

Cybersecurity and Infrastructure Security Agencyn (CISA), National Security Agencyn (NSA) ja Federal Bureau of Investigationin (FBI) julkaisema yhteinen neuvonta sekä Five Eyes -tiedusteluliittoumamaiden tuki korostaa tilanteen vakavuutta. Tämä hakkerointiryhmä, joka tunnetaan vaihtoehtoisesti nimellä Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda tai Voltzite, on ollut aktiivinen ainakin kesäkuusta 2021 lähtien.

Volt Typhoonin toimintatapa sisältää kehittyneiden tekniikoiden, kuten "elämisen maasta" (LotL), hyödyntämisen, jolloin ne voivat toimia piilossa sekoittamalla haitallisia toimintoja lailliseen verkkokäyttäytymiseen. Lisäksi he käyttävät multi-hop-välityspalvelimia, kuten KV-botnetiä, hämärtämään hyökkäystensa alkuperää, mikä tekee vaikuttamisesta haastavaa.

CrowdStrike, kyberturvallisuusyritys, pani merkille Volt Typhoonin riippuvuuden laajasta valikoimasta avoimen lähdekoodin työkaluja, jotka on räätälöity tietyille uhreille, mikä osoittaa korkeatasoista kehittyneisyyttä ja strategista suunnittelua. Ryhmä suorittaa tarkasti tiedustelua, räätälöi taktiikkansa kohdeympäristöihin ja ylläpitää sinnikkyyttä käyttämällä kelvollisia tilejä ja vahvoja operatiivisia turvatoimia.

Yksi heidän ensisijaisista tavoitteistaan on hankkia järjestelmänvalvojan tunnistetiedot verkoissa ja hyödyntää etuoikeuksien eskaloinnin puutteita sivuttaisliikkeen ja tiedustelun helpottamiseksi. Heidän pitkän aikavälin strategiansa sisältää pääsyn vaarantuneisiin ympäristöihin, jatkuvan tekniikoiden parantamisen havaitsemisen välttämiseksi ja luvattoman pääsyn laajentamiseksi.

Varastettujen valtuustietojen lisäksi Volt Typhoon käyttää LotL-tekniikoita, joilla vältetään haittaohjelmien jälkien jättäminen, mikä parantaa niiden salailua ja toimintaturvallisuutta. He menevät jopa poistamalla kohdistettuja lokeja piilottaakseen toimintansa vaarantuneissa ympäristöissä, mikä vaikeuttaa entisestään pyrkimyksiä paljastaa toimintaansa.

Tämä paljastus osuu yhteen Citizen Labin havaintojen kanssa, jotka koskevat laajaa PAPERWALL-nimistä vaikuttamiskampanjaa, johon osallistui yli 123 verkkosivustoa, jotka esiintyvät paikallisina uutistoimistoina 30 maassa. Nämä verkkosivustot, jotka on linkitetty pekingissä toimivaan Shenzhen Haimaiyunxiang Media Co., Ltd. -nimiseen PR-yritykseen, levittävät kiinalaista sisältöä ja poistavat tärkeitä artikkeleita julkaisemisen jälkeen.

Vaikka Kiinan suurlähetystö Washingtonissa hylkää väitteet disinformaatiosta, nämä tapaukset korostavat kasvavaa huolta Kiinan kybervalmiuksista ja vaikuttamisesta maailmanlaajuisesti.