A kínai Volt Typhoon hackerek 5 évig működtek észrevétlenül az Egyesült Államok kritikus infrastruktúrájában

Az Egyesült Államok kormánya a közelmúltban nyilvánosságra hozta, hogy egy kifinomult, államilag támogatott, Volt Typhoon nevű hackercsoportnak sikerült behatolnia az Egyesült Államokon és Guamon belüli kritikus infrastruktúra-hálózatokba, és elképesztő öt évig észrevétlen maradt. Ezek a Volt Typhoon által megcélzott kritikus rendszerek különböző szektorokra terjednek ki, beleértve a kommunikációt, az energiát, a szállítást, valamint a víz- és szennyvízgazdálkodást.

A Volt Typhoon tevékenységeit az a szokatlan megközelítés különbözteti meg, amely eltér a tipikus kiberkémkedési műveletektől. Az Egyesült Államok hatóságai szerint a csoport taktikája előre megfontolt erőfeszítést sugall az informatikai hálózatokon belüli megtámasztásra, lehetővé téve számukra, hogy az operatív technológiai (OT) eszközök felé manőverezzenek azzal a szándékkal, hogy megzavarják az alapvető funkciókat .

A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA), a Nemzetbiztonsági Ügynökség (NSA) és a Szövetségi Nyomozó Iroda (FBI), valamint a Five Eyes titkosszolgálati szövetség nemzetei által kiadott közös tanács rávilágít a helyzet súlyosságára. Ez a hackercsoport, más néven Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda vagy Voltzite, legalább 2021 júniusa óta aktív.

A Volt Typhoon működési módja olyan fejlett technikák alkalmazását foglalja magában, mint például a „földről élni” (LotL), lehetővé téve számukra, hogy rejtetten működjenek, a rosszindulatú tevékenységek és a legitim hálózati viselkedés keverésével. Ezenkívül több ugrásos proxyt, például KV-botnetet alkalmaznak, hogy elhomályosítsák támadásaik eredetét, ami kihívást jelent a hozzárendelésükhöz.

A CrowdStrike, egy kiberbiztonsági cég megjegyezte, hogy a Volt Typhoon a nyílt forráskódú, konkrét áldozatokra szabott eszközök széles skálájára támaszkodik, ami magas szintű kifinomultságot és stratégiai tervezést mutat. A csoport aprólékosan végzi a felderítést, taktikáját a célkörnyezethez igazítja, és érvényes fiókok és erős operatív biztonsági intézkedések használatával fenntartja a kitartást.

Egyik elsődleges céljuk a rendszergazdai hitelesítés megszerzése a hálózatokon belül, kihasználva a privilégiumok eszkalációjának hibáit az oldalirányú mozgás és a felderítés megkönnyítésére. Hosszú távú stratégiájuk a veszélyeztetett környezetekhez való hozzáférés fenntartása, technikáik folyamatos finomítása az észlelés elkerülése és az illetéktelen hozzáférések kiterjesztése érdekében.

Az ellopott hitelesítő adatokon kívül a Volt Typhoon LotL technikákat alkalmaz, hogy elkerülje a rosszindulatú programok nyomait, javítva a lopakodó és a működési biztonságot. Egészen odáig mennek, hogy törlik a célzott naplókat, hogy elrejthessék tevékenységeiket a veszélyeztetett környezetben, tovább bonyolítva a tevékenységeik feltárására tett erőfeszítéseket.

Ez a feltárás egybeesik a Citizen Lab azon megállapításaival, amely a PAPERWALL névre keresztelt széles körben elterjedt befolyásolási kampányra vonatkozik, amely több mint 123 webhelyet érint, amelyek 30 ország helyi hírügynökségeinek adják ki magukat. Ezek a Shenzhen Haimaiyunxiang Media Co., Ltd. nevű pekingi PR-céghez kapcsolódó weboldalak Kína-barát tartalmat terjesztenek, miközben a megjelenés után eltávolítják a kritikus cikkeket.

Míg a washingtoni kínai nagykövetség visszautasítja a félretájékoztatásra vonatkozó vádakat, ezek az incidensek rávilágítanak arra, hogy egyre nagyobb aggodalomra ad okot Kína kiberképességei és globális szintű befolyásolási műveletei miatt.