Gli hacker cinesi Volt Typhoon hanno operato inosservati per 5 anni nelle infrastrutture critiche degli Stati Uniti

Il governo degli Stati Uniti ha recentemente rivelato che un sofisticato gruppo di hacking sponsorizzato dallo stato cinese, identificato come Volt Typhoon , è riuscito a infiltrarsi nelle reti di infrastrutture critiche negli Stati Uniti e a Guam, rimanendo inosservato per cinque anni sconcertanti. Questi sistemi critici presi di mira da Volt Typhoon abbracciano vari settori tra cui le comunicazioni, l’energia, i trasporti e la gestione dell’acqua e delle acque reflue.

Ciò che distingue le attività di Volt Typhoon è il loro approccio non convenzionale, divergente dalle tipiche operazioni di spionaggio informatico. Secondo le autorità statunitensi, le tattiche del gruppo suggeriscono uno sforzo premeditato per stabilire un punto d'appoggio all'interno delle reti IT, consentendo loro di manovrare verso le risorse di tecnologia operativa (OT) con l'intento di interrompere le funzioni essenziali .

L’avviso congiunto rilasciato dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla National Security Agency (NSA) e dal Federal Bureau of Investigation (FBI), insieme al supporto delle nazioni dell’alleanza di intelligence Five Eyes, evidenzia la gravità della situazione. Questo gruppo di hacker, noto anche come Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite, è attivo almeno da giugno 2021.

Il modus operandi di Volt Typhoon prevede l'utilizzo di tecniche avanzate come "vivere fuori dalla terra" (LotL), che consente loro di operare in segreto combinando attività dannose con comportamenti di rete legittimi. Inoltre, utilizzano proxy multi-hop come KV-botnet per offuscare le origini dei loro attacchi, rendendone difficile l’attribuzione.

CrowdStrike, una società di sicurezza informatica, ha notato la dipendenza di Volt Typhoon da una vasta gamma di strumenti open source su misura per vittime specifiche, dimostrando un alto livello di sofisticazione e pianificazione strategica. Il gruppo conduce meticolosamente la ricognizione, adatta le proprie tattiche agli ambienti target e mantiene la persistenza attraverso l'uso di account validi e forti misure di sicurezza operativa.

Uno dei loro obiettivi principali è ottenere credenziali di amministratore all'interno delle reti, sfruttando i difetti di escalation dei privilegi per facilitare il movimento laterale e la ricognizione. La loro strategia a lungo termine prevede il mantenimento dell’accesso agli ambienti compromessi, il perfezionamento continuo delle tecniche per eludere il rilevamento ed espandere gli accessi non autorizzati.

Oltre alle credenziali rubate, Volt Typhoon utilizza tecniche LotL per evitare di lasciare tracce di malware, migliorandone la furtività e la sicurezza operativa. Arrivano al punto di eliminare registri mirati per nascondere le loro azioni all'interno di ambienti compromessi, complicando ulteriormente gli sforzi per scoprire le loro attività.

Questa rivelazione coincide con le scoperte di Citizen Lab riguardanti una campagna di influenza diffusa, denominata PAPERWALL, che coinvolge oltre 123 siti web che si spacciano per organi di informazione locali in 30 paesi. Questi siti web, collegati a una società di pubbliche relazioni con sede a Pechino denominata Shenzhen Haimaiyunxiang Media Co., Ltd., diffondono contenuti pro-Cina rimuovendo gli articoli critici dopo la pubblicazione.

Sebbene l’ambasciata cinese a Washington respinga le accuse di disinformazione, questi incidenti sottolineano la crescente preoccupazione per le capacità informatiche della Cina e le operazioni di influenza su scala globale.