Kineski hakeri Volt Typhoon djelovali su neotkriveni 5 godina u kritičnoj američkoj infrastrukturi

Američka vlada nedavno je otkrila da se sofisticirana hakerska skupina koju sponzorira kineska država, identificirana kao Volt Typhoon , uspjela infiltrirati u kritične infrastrukturne mreže unutar Sjedinjenih Država i Guama, ostajući neotkrivena nevjerojatnih pet godina. Ovi kritični sustavi na koje cilja Volt Typhoon obuhvaćaju različite sektore uključujući komunikacije, energiju, transport te upravljanje vodom i otpadnim vodama.

Ono što razlikuje aktivnosti Volt Typhoona je njihov nekonvencionalan pristup, koji se razlikuje od tipičnih operacija cyber špijunaže. Prema američkim vlastima, taktika skupine sugerira unaprijed smišljeni pokušaj da se uspostavi uporište unutar IT mreža, omogućujući im manevriranje prema sredstvima operativne tehnologije (OT) s namjerom da poremete osnovne funkcije .

Zajedničko savjetovanje koje su objavili Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA), Agencija za nacionalnu sigurnost (NSA) i Federalni istražni ured (FBI), uz potporu država obavještajnog saveza Five Eyes, naglašava ozbiljnost situacije. Ova hakerska skupina, alternativno poznata kao Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ili Voltzite, aktivna je najmanje od lipnja 2021.

Modus operandi Volt Typhoona uključuje korištenje naprednih tehnika kao što je 'živjeti od zemlje' (LotL), što im omogućuje tajno djelovanje spajanjem zlonamjernih aktivnosti s legitimnim mrežnim ponašanjem. Štoviše, koriste multi-hop proxije kao što je KV-botnet kako bi prikrili podrijetlo svojih napada, čineći atribuciju izazovnom.

CrowdStrike, tvrtka za kibernetičku sigurnost, istaknula je oslanjanje Volt Typhoona na opsežan niz alata otvorenog koda prilagođenih određenim žrtvama, pokazujući visoku razinu sofisticiranosti i strateškog planiranja. Grupa pedantno provodi izviđanje, kroji svoje taktike prema ciljanim okruženjima i održava upornost upotrebom valjanih računa i jakih operativnih sigurnosnih mjera.

Jedan od njihovih primarnih ciljeva je dobiti administratorske vjerodajnice unutar mreža, iskorištavajući nedostatke eskalacije privilegija kako bi se olakšalo bočno kretanje i izviđanje. Njihova dugoročna strategija uključuje održavanje pristupa ugroženim okruženjima, kontinuirano usavršavanje njihovih tehnika za izbjegavanje otkrivanja i širenje neovlaštenih pristupa.

Uz ukradene vjerodajnice, Volt Typhoon koristi LotL tehnike kako bi izbjegao ostavljanje tragova zlonamjernog softvera, poboljšavajući njihovu skrivenost i operativnu sigurnost. Oni idu toliko daleko da brišu ciljane dnevnike kako bi prikrili svoje radnje unutar ugroženih okruženja, dodatno komplicirajući napore da se otkriju njihove aktivnosti.

Ovo otkriće koincidira s nalazima Citizen Laba u vezi sa široko rasprostranjenom kampanjom utjecaja, nazvanom PAPERWALL, koja uključuje više od 123 web stranice koje se lažno predstavljaju kao lokalne novinske kuće u 30 zemalja. Ove web stranice, povezane s tvrtkom za odnose s javnošću sa sjedištem u Pekingu Shenzhen Haimaiyunxiang Media Co., Ltd., šire prokineski sadržaj dok uklanjaju kritične članke nakon objave.

Dok kinesko veleposlanstvo u Washingtonu odbacuje optužbe o dezinformacijama, ovi incidenti naglašavaju rastuću zabrinutost oko kibernetičkih sposobnosti Kine i utjecaja na operacije na globalnoj razini.