Chinese Volt Typhoon-hackers opereerden vijf jaar lang onopgemerkt in kritieke Amerikaanse infrastructuur

De Amerikaanse regering heeft onlangs bekendgemaakt dat een geavanceerde, door de Chinese staat gesponsorde hackgroep, geïdentificeerd als Volt Typhoon , erin is geslaagd kritieke infrastructuurnetwerken binnen de Verenigde Staten en Guam te infiltreren, en daarbij maar liefst vijf jaar onopgemerkt bleef. Deze kritische systemen waarop Volt Typhoon zich richt, strekken zich uit over verschillende sectoren, waaronder communicatie, energie, transport en water- en afvalwaterbeheer.

Wat de activiteiten van Volt Typhoon onderscheidt, is hun onconventionele aanpak, die afwijkt van typische cyberspionageoperaties. Volgens de Amerikaanse autoriteiten duidt de tactiek van de groep op een met voorbedachten rade poging om voet aan de grond te krijgen binnen IT-netwerken, waardoor ze in de richting van Operational Technology (OT)-middelen kunnen manoeuvreren met de bedoeling essentiële functies te ontwrichten .

Het gezamenlijke advies van de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Federal Bureau of Investigation (FBI), samen met de steun van de Five Eyes-inlichtingenalliantielanden, benadrukt de ernst van de situatie. Deze hackgroep, ook wel bekend als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda of Voltzite, is in ieder geval sinds juni 2021 actief.

De modus operandi van Volt Typhoon omvat het gebruik van geavanceerde technieken zoals 'living off the land' (LotL), waardoor ze heimelijk kunnen opereren door kwaadaardige activiteiten te combineren met legitiem netwerkgedrag. Bovendien maken ze gebruik van multi-hop proxy's zoals het KV-botnet om de oorsprong van hun aanvallen te verdoezelen, waardoor attributie lastig wordt.

CrowdStrike, een cyberbeveiligingsbedrijf, merkte op dat Volt Typhoon vertrouwt op een uitgebreid scala aan open-sourcetools die zijn afgestemd op specifieke slachtoffers, wat een hoog niveau van verfijning en strategische planning aantoont. De groep voert nauwgezet verkenningen uit, stemt hun tactieken af op de doelomgevingen en handhaaft de volharding door het gebruik van geldige accounts en krachtige operationele beveiligingsmaatregelen.

Een van hun belangrijkste doelstellingen is het verkrijgen van beheerdersreferenties binnen netwerken, waarbij misbruik wordt gemaakt van escalatiefouten van bevoegdheden om laterale verplaatsing en verkenning te vergemakkelijken. Hun langetermijnstrategie bestaat uit het behouden van toegang tot gecompromitteerde omgevingen, waarbij ze voortdurend hun technieken verfijnen om detectie te omzeilen en ongeoorloofde toegang uit te breiden.

Naast gestolen inloggegevens maakt Volt Typhoon gebruik van LotL-technieken om te voorkomen dat sporen van malware achterblijven, waardoor de stealth- en operationele veiligheid wordt verbeterd. Ze gaan zelfs zo ver dat ze doelgerichte logboeken verwijderen om hun acties in gecompromitteerde omgevingen te verbergen, wat de inspanningen om hun activiteiten bloot te leggen verder bemoeilijkt.

Deze onthulling valt samen met bevindingen van Citizen Lab over een wijdverbreide beïnvloedingscampagne, genaamd PAPERWALL, waarbij meer dan 123 websites betrokken waren die zich voordeden als lokale nieuwsuitzendingen in 30 landen. Deze websites, gekoppeld aan een in Peking gevestigd PR-bedrijf genaamd Shenzhen Haimaiyunxiang Media Co., Ltd., verspreiden pro-Chinese inhoud en verwijderen kritische artikelen na publicatie.

Hoewel de Chinese ambassade in Washington de beschuldigingen van desinformatie van de hand wijst, onderstrepen deze incidenten de groeiende bezorgdheid over de cybercapaciteiten van China en beïnvloeden ze operaties op mondiale schaal.