Chińscy hakerzy tajfunu Volt działali niewykryci przez 5 lat w krytycznej infrastrukturze USA

Rząd Stanów Zjednoczonych niedawno ujawnił, że wyrafinowanej, sponsorowanej przez państwo chińskiej grupie hakerskiej, zidentyfikowanej jako Volt Typhoon , udało się zinfiltrować sieci infrastruktury krytycznej w Stanach Zjednoczonych i na Guam, pozostając niewykrytym przez oszałamiające pięć lat. Te krytyczne systemy, na które ukierunkowany jest projekt Volt Typhoon, obejmują różne sektory, w tym komunikację, energię, transport oraz gospodarkę wodną i ściekową.

Tym, co wyróżnia działania Volt Typhoon, jest niekonwencjonalne podejście, odbiegające od typowych operacji cyberszpiegowskich. Według władz USA taktyka grupy sugeruje przemyślany wysiłek mający na celu zdobycie przyczółka w sieciach IT, co umożliwi im manewrowanie w stronę zasobów technologii operacyjnej (OT) z zamiarem zakłócenia podstawowych funkcji .

Wspólny poradnik wydany przez Agencję ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), Agencję Bezpieczeństwa Narodowego (NSA) i Federalne Biuro Śledcze (FBI), wraz ze wsparciem ze strony krajów sojuszu wywiadowczego Five Eyes, podkreśla powagę sytuacji. Ta grupa hakerska, znana również jako Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda lub Voltzite, jest aktywna co najmniej od czerwca 2021 r.

Sposób działania Volta Typhoona polega na wykorzystaniu zaawansowanych technik, takich jak „życie z ziemi” (LotL), umożliwiających im tajne działanie poprzez łączenie szkodliwych działań z legalnym zachowaniem sieciowym. Co więcej, wykorzystują wieloprzeskokowe proxy, takie jak botnet KV, aby zaciemnić pochodzenie swoich ataków, co utrudnia przypisanie ich.

CrowdStrike, firma zajmująca się bezpieczeństwem cybernetycznym, zauważyła, że Volt Typhoon polegał na szerokiej gamie narzędzi typu open source dostosowanych do konkretnych ofiar, co świadczy o wysokim poziomie wyrafinowania i planowania strategicznego. Grupa skrupulatnie przeprowadza rekonesans, dostosowuje swoją taktykę do docelowych środowisk i utrzymuje wytrwałość dzięki korzystaniu z ważnych kont i silnych środków bezpieczeństwa operacyjnego.

Jednym z ich głównych celów jest uzyskanie poświadczeń administratora w sieciach, wykorzystując wady związane z eskalacją uprawnień w celu ułatwienia ruchu bocznego i rozpoznania. Ich długoterminowa strategia obejmuje utrzymywanie dostępu do zaatakowanych środowisk, ciągłe udoskonalanie technik w celu uniknięcia wykrycia i rozszerzenia nieautoryzowanego dostępu.

Oprócz kradzieży danych uwierzytelniających Volt Typhoon wykorzystuje techniki LotL, aby uniknąć pozostawiania śladów złośliwego oprogramowania, zwiększając ich dyskrecję i bezpieczeństwo operacyjne. Posuwają się nawet do usuwania ukierunkowanych dzienników, aby ukryć swoje działania w zaatakowanych środowiskach, co jeszcze bardziej komplikuje wysiłki mające na celu wykrycie ich działań.

To odkrycie zbiega się z ustaleniami Citizen Lab dotyczącymi szeroko zakrojonej kampanii wywierania wpływu, nazwanej PAPERWALL, obejmującej ponad 123 strony internetowe podszywające się pod lokalne serwisy informacyjne w 30 krajach. Strony te, powiązane z firmą PR z siedzibą w Pekinie, Shenzhen Haimaiyunxiang Media Co., Ltd., rozpowszechniają treści prochińskie, usuwając jednocześnie krytyczne artykuły po publikacji.

Chociaż chińska ambasada w Waszyngtonie odrzuca zarzuty dezinformacji, incydenty te podkreślają rosnące obawy dotyczące zdolności cybernetycznych Chin i wpływają na operacje w skali globalnej.