Ķīnas Volt Typhoon hakeri darbojās neatklāti 5 gadus kritiskā ASV infrastruktūrā

ASV valdība nesen atklāja, ka sarežģītai Ķīnas valsts sponsorētai hakeru grupai, kas identificēta kā Volt Typhoon , izdevās iefiltrēties kritiskās infrastruktūras tīklos ASV un Guamā, paliekot nepamanītai satriecošus piecus gadus. Šīs kritiskās sistēmas, kuru mērķis ir Volt Typhoon, aptver dažādas nozares, tostarp sakarus, enerģiju, transportu, kā arī ūdens un notekūdeņu apsaimniekošanu.

Volt Typhoon aktivitātes atšķir to netradicionālā pieeja, kas atšķiras no tipiskām kiberspiegošanas operācijām. Saskaņā ar ASV varasiestāžu teikto, grupas taktika liecina par iepriekš apzinātiem centieniem nostiprināties IT tīklos, ļaujot tiem manevrēt uz operatīvo tehnoloģiju (OT) aktīviem ar nolūku traucēt būtiskas funkcijas .

Kiberdrošības un infrastruktūras drošības aģentūras (CISA), Nacionālās drošības aģentūras (NSA) un Federālā izmeklēšanas biroja (FIB) izdotais kopīgais ieteikums kopā ar Five Eyes izlūkošanas alianses valstu atbalstu uzsver situācijas nopietnību. Šī hakeru grupa, kas pazīstama arī kā Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda vai Voltzite, ir bijusi aktīva vismaz kopš 2021. gada jūnija.

Volt Typhoon darbības veids ir saistīts ar progresīvu paņēmienu izmantošanu, piemēram, “dzīvošana ārpus zemes” (LotL), ļaujot tiem darboties slēpti, sajaucot ļaunprātīgas darbības ar likumīgu tīkla darbību. Turklāt viņi izmanto vairāku apgriezienu starpniekserverus, piemēram, KV-botnet, lai apslēptu savu uzbrukumu izcelsmi, padarot attiecināšanu sarežģītu.

CrowdStrike, kiberdrošības uzņēmums, atzīmēja Volt Typhoon paļaušanos uz plašu atvērtā pirmkoda rīku klāstu, kas pielāgots konkrētiem upuriem, demonstrējot augstu izsmalcinātības un stratēģiskās plānošanas līmeni. Grupa rūpīgi veic izlūkošanu, pielāgo savu taktiku mērķa videi un saglabā neatlaidību, izmantojot derīgus kontus un stingrus operatīvās drošības pasākumus.

Viens no to galvenajiem mērķiem ir iegūt administratora akreditācijas datus tīklos, izmantojot privilēģiju eskalācijas trūkumus, lai atvieglotu sānu kustību un izlūkošanu. Viņu ilgtermiņa stratēģija ietver piekļuves saglabāšanu apdraudētām vidēm, nepārtrauktu paņēmienu uzlabošanu, lai izvairītos no atklāšanas un paplašinātu nesankcionētu piekļuvi.

Papildus nozagtajiem akreditācijas datiem Volt Typhoon izmanto LotL metodes, lai izvairītos no ļaunprātīgas programmatūras pēdu atstāšanas, uzlabojot to slepenību un darbības drošību. Viņi dzēš mērķtiecīgus žurnālus, lai slēptu savas darbības apdraudētā vidē, vēl vairāk apgrūtinot centienus atklāt savas darbības.

Šī atklāsme sakrīt ar Citizen Lab atklājumiem attiecībā uz plaši izplatītu ietekmes kampaņu, kas nodēvēta par PAPERWALL, iesaistot vairāk nekā 123 tīmekļa vietnes, kas uzdodas par vietējiem ziņu avotiem 30 valstīs. Šīs vietnes, kas ir saistītas ar Pekinā bāzētu sabiedrisko attiecību uzņēmumu Shenzhen Haimaiyunxiang Media Co., Ltd., izplata Ķīnai labvēlīgu saturu, vienlaikus noņemot kritiskos rakstus pēc publicēšanas.

Kamēr Ķīnas vēstniecība Vašingtonā noraida apgalvojumus par dezinformāciju, šie incidenti uzsver pieaugošās bažas par Ķīnas kiberspējām un ietekmi uz operācijām globālā mērogā.