Kinijos voltų taifūnų įsilaužėliai 5 metus veikė nepastebėti kritinėje JAV infrastruktūroje

JAV vyriausybė neseniai atskleidė, kad sudėtinga Kinijos valstybės remiama programišių grupė, vadinama Volt Typhoon , sugebėjo įsiskverbti į ypatingos svarbos infrastruktūros tinklus JAV ir Guame ir išliko nepastebėta stulbinančius penkerius metus. Šios svarbios sistemos, kurioms skirtas Volt Typhoon, apima įvairius sektorius, įskaitant ryšių, energijos, transporto ir vandens bei nuotekų tvarkymą.

„Volt Typhoon“ veikla išskiria netradicinį požiūrį, kuris skiriasi nuo įprastų kibernetinio šnipinėjimo operacijų. Pasak JAV valdžios institucijų, grupės taktika rodo iš anksto apgalvotas pastangas įsitvirtinti IT tinkluose, leidžiančias jiems manevruoti link operacinės technologijos (OT) turto, siekiant sutrikdyti esmines funkcijas .

Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA), Nacionalinio saugumo agentūros (NSA) ir Federalinio tyrimų biuro (FTB) paskelbtas bendras patarimas kartu su Five Eyes žvalgybos aljanso šalių parama pabrėžia padėties rimtumą. Ši programišių grupė, kitaip žinoma kaip „Bronze Silhouette“, „Insidious Taurus“, „UNC3236“, „Vanguard Panda“ arba „Voltzite“, veikia mažiausiai nuo 2021 m. birželio mėn.

„Volt Typhoon“ veikimo būdas apima pažangių metodų, tokių kaip „gyvenimas iš žemės“ (LotL), naudojimą, leidžiantį jiems veikti slaptai, derinant kenkėjišką veiklą su teisėtu tinklo elgesiu. Be to, jie naudoja kelių šuolių tarpinius serverius, tokius kaip KV-botnet, kad užmaskuotų savo atakų kilmę, todėl priskyrimas tampa sudėtingas.

Kibernetinio saugumo įmonė „CrowdStrike“ pažymėjo, kad „Volt Typhoon“ priklauso nuo daugybės atvirojo kodo įrankių, pritaikytų konkrečioms aukoms, o tai rodo aukštą sudėtingumo ir strateginio planavimo lygį. Grupė kruopščiai atlieka žvalgybą, savo taktiką pritaiko tikslinei aplinkai ir išlaiko atkaklumą naudodama galiojančias sąskaitas ir tvirtas veiklos saugumo priemones.

Vienas iš pagrindinių jų tikslų yra gauti administratoriaus kredencialus tinkluose, išnaudojant privilegijų eskalavimo trūkumus, kad būtų lengviau judėti į šoną ir žvalgytis. Jų ilgalaikė strategija apima prieigos prie pažeistos aplinkos palaikymą, nuolatinį metodų tobulinimą, siekiant išvengti aptikimo ir išplėsti neteisėtą prieigą.

Be pavogtų kredencialų, Volt Typhoon taiko LotL metodus, kad nepaliktų kenkėjiškų programų pėdsakų, pagerintų jų slaptumą ir veikimo saugumą. Jie net ištrina tikslinius žurnalus, kad nuslėptų savo veiksmus pažeistoje aplinkoje, o tai dar labiau apsunkina pastangas atskleisti savo veiklą.

Šis apreiškimas sutampa su „Citizen Lab“ išvadomis apie plačiai paplitusią įtakos kampaniją, pavadintą PAPERWALL, apimančią daugiau nei 123 svetaines, apsimetinėjančias vietinėmis naujienų agentūromis 30 šalių. Šios svetainės, susietos su Pekine įsikūrusia viešųjų ryšių įmone Shenzhen Haimaiyunxiang Media Co., Ltd., skleidžia Kinijai palankų turinį, o po paskelbimo pašalina svarbius straipsnius.

Nors Kinijos ambasada Vašingtone atmeta kaltinimus dezinformacija, šie incidentai pabrėžia didėjantį susirūpinimą dėl Kinijos kibernetinių pajėgumų ir įtakos operacijoms pasauliniu mastu.