האקרים סיני וולט טייפון פעלו ללא זיהוי במשך 5 שנים בתשתית קריטית בארה"ב

ממשלת ארה"ב חשפה לאחרונה כי קבוצת פריצה מתוחכמת בחסות המדינה הסינית, שזוהתה כוולט טייפון , הצליחה לחדור לרשתות תשתית קריטיות בתוך ארה"ב וגואם, ולא זוהתה במשך חמש שנים מדהימות. מערכות קריטיות אלו הממוקדות על ידי Volt Typhoon משתרעות על פני מגזרים שונים כולל תקשורת, אנרגיה, תחבורה וניהול מים ושפכים.

מה שמייחד את פעילותו של וולט טייפון הוא הגישה הלא שגרתית שלהם, החורגת מפעולות ריגול סייבר טיפוסיות. לפי הרשויות בארה"ב, הטקטיקה של הקבוצה מציעה מאמץ מתוכנן לבסס דריסת רגל בתוך רשתות IT, שיאפשר להם לתמרן לעבר נכסי טכנולוגיה תפעולית (OT) במטרה לשבש פונקציות חיוניות .

הייעוץ המשותף שפורסם על ידי הסוכנות לאבטחת סייבר ותשתיות (CISA), הסוכנות לביטחון לאומי (NSA) והבולשת הפדרלית (FBI), יחד עם תמיכה ממדינות ברית המודיעין Five Eyes, מדגישים את חומרת המצב. קבוצת הפריצה הזו, הידועה לחילופין בשם Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda, או Voltzite, פעילה לפחות מאז יוני 2021.

אופן הפעולה של וולט טייפון כרוך בשימוש בטכניקות מתקדמות כמו 'לחיות מהאדמה' (LotL), המאפשר להם לפעול באופן סמוי על ידי מיזוג פעילויות זדוניות עם התנהגות רשת לגיטימית. יתר על כן, הם מעסיקים פרוקסי ריבוי הופ כמו KV-botnet כדי לטשטש את מקורות ההתקפות שלהם, מה שהופך את הייחוס למאתגר.

CrowdStrike, חברת אבטחת סייבר, ציינה את ההסתמכות של וולט טייפון על מערך נרחב של כלים בקוד פתוח המותאמים לקורבנות ספציפיים, המדגימים רמה גבוהה של תחכום ותכנון אסטרטגי. הקבוצה מבצעת בקפדנות סיור, מתאימה את הטקטיקה שלה לסביבות היעד, ושומרת על התמדה באמצעות שימוש בחשבונות תקפים ואמצעי אבטחה תפעוליים חזקים.

אחת המטרות העיקריות שלהם היא להשיג אישורי מנהל בתוך רשתות, תוך ניצול פגמי הסלמה של הרשאות כדי להקל על תנועה וסיור לרוחב. האסטרטגיה ארוכת הטווח שלהם כוללת שמירה על גישה לסביבות שנפגעו, חידוד מתמשך של הטכניקות שלהן כדי להתחמק מזיהוי ולהרחיב גישה לא מורשית.

בנוסף לאישורים שנגנבו, Volt Typhoon משתמש בטכניקות LotL כדי להימנע מהשארת עקבות של תוכנות זדוניות, ולשפר את החמקניות והאבטחה התפעולית שלהן. הם מגיעים עד למחיקת יומנים ממוקדים כדי להסתיר את פעולותיהם בתוך סביבות שנפגעו, מה שמסבך עוד יותר את המאמצים לחשוף את הפעילויות שלהם.

גילוי זה עולה בקנה אחד עם ממצאים של Citizen Lab בנוגע למסע השפעה נרחב, המכונה PAPERWALL, הכולל למעלה מ-123 אתרי אינטרנט המתחזות לכלי חדשות מקומיים ב-30 מדינות. אתרים אלו, המקושרים לחברת יחסי ציבור מבייג'ינג בשם Shenzhen Haimaiyunxiang Media Co., Ltd., מפיצים תוכן פרו-סין תוך הסרת מאמרים קריטיים לאחר פרסום.

בעוד ששגרירות סין בוושינגטון דוחה את ההאשמות על דיסאינפורמציה, תקריות אלו מדגישות את הדאגה הגוברת לגבי יכולות הסייבר של סין ומשפיעות על פעולות בקנה מידה עולמי.