Kinesiske Volt Typhoon Hackere opererte uoppdaget i 5 år i kritisk amerikansk infrastruktur

Den amerikanske regjeringen avslørte nylig at en sofistikert kinesisk statsstøttet hackergruppe, identifisert som Volt Typhoon , klarte å infiltrere kritiske infrastrukturnettverk i USA og Guam, og forble uoppdaget i svimlende fem år. Disse kritiske systemene målrettet av Volt Typhoon spenner over ulike sektorer, inkludert kommunikasjon, energi, transport og vann- og avløpsvannhåndtering.

Det som skiller Volt Typhoons aktiviteter er deres ukonvensjonelle tilnærming, som avviker fra typiske cyberspionasjeoperasjoner. Ifølge amerikanske myndigheter antyder gruppens taktikk et overlagt forsøk på å etablere fotfeste innenfor IT-nettverk, som gjør dem i stand til å manøvrere mot operasjonell teknologi (OT) eiendeler med den hensikt å forstyrre viktige funksjoner .

Den felles rådgivingen utgitt av Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og Federal Bureau of Investigation (FBI), sammen med støtte fra Five Eyes etterretningsallianse-nasjoner, fremhever alvoret i situasjonen. Denne hackergruppen, alternativt kjent som Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda eller Voltzite, har vært aktiv siden minst juni 2021.

Volt Typhoons modus operandi involverer bruk av avanserte teknikker som "living off the land" (LotL), som lar dem operere i det skjulte ved å blande ondsinnede aktiviteter med legitim nettverksatferd. Dessuten bruker de multi-hop proxyer som KV-botnet for å tilsløre opprinnelsen til angrepene deres, noe som gjør attribusjon utfordrende.

CrowdStrike, et cybersikkerhetsfirma, bemerket Volt Typhoons avhengighet av et omfattende utvalg av åpen kildekode-verktøy skreddersydd for spesifikke ofre, og demonstrerer et høyt nivå av sofistikering og strategisk planlegging. Gruppen gjennomfører omhyggelig rekognosering, skreddersyr taktikken til målmiljøer, og opprettholder utholdenhet gjennom bruk av gyldige kontoer og sterke operasjonelle sikkerhetstiltak.

Et av deres primære mål er å skaffe administratorlegitimasjon innen nettverk, utnytte rettighetsopptrappingsfeil for å lette sideveis bevegelse og rekognosering. Deres langsiktige strategi innebærer å opprettholde tilgang til kompromitterte miljøer, kontinuerlig forbedre teknikkene deres for å unngå oppdagelse og utvide uautorisert tilgang.

I tillegg til stjålne legitimasjon, bruker Volt Typhoon LotL-teknikker for å unngå å etterlate spor av skadelig programvare, noe som forbedrer deres stealth og driftssikkerhet. De går så langt som å slette målrettede logger for å skjule handlingene sine i kompromitterte miljøer, noe som ytterligere kompliserer arbeidet med å avdekke aktivitetene deres.

Denne avsløringen faller sammen med funn fra Citizen Lab angående en utbredt påvirkningskampanje, kalt PAPERWALL, som involverer over 123 nettsteder som utgir seg for å være lokale nyhetskanaler i 30 land. Disse nettstedene, knyttet til et Beijing-basert PR-firma ved navn Shenzhen Haimaiyunxiang Media Co., Ltd., sprer pro-Kina-innhold mens de fjerner kritiske artikler etter publisering.

Mens den kinesiske ambassaden i Washington avviser påstander om desinformasjon, understreker disse hendelsene den økende bekymringen over Kinas cyberevner og påvirker operasjoner på global skala.