Hackerii chinezi Volt Typhoon au funcționat nedetectați timp de 5 ani în infrastructura critică din SUA

Guvernul SUA a dezvăluit recent că un grup sofisticat de hacking sponsorizat de stat chinez, identificat ca Volt Typhoon , a reușit să se infiltreze în rețelele de infrastructură critică din Statele Unite și Guam, rămânând nedetectat timp de cinci ani uluitor. Aceste sisteme critice vizate de Volt Typhoon se întind în diferite sectoare, inclusiv comunicații, energie, transport și managementul apei și apelor uzate.

Ceea ce distinge activitățile Volt Typhoon este abordarea lor neconvențională, diferită de operațiunile tipice de spionaj cibernetic. Potrivit autorităților americane, tacticile grupului sugerează un efort premeditat de a stabili un punct de sprijin în rețelele IT, permițându-le să manevreze către activele de tehnologie operațională (OT) cu intenția de a perturba funcțiile esențiale .

Avizul comun lansat de Agenția pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA), Agenția Națională de Securitate (NSA) și Biroul Federal de Investigații (FBI), împreună cu sprijinul țărilor alianței de informații Five Eyes, evidențiază gravitatea situației. Acest grup de hacking, cunoscut alternativ sub numele de Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda sau Voltzite, este activ cel puțin din iunie 2021.

Modul de operare al lui Volt Typhoon implică utilizarea unor tehnici avansate, cum ar fi „a trăi din pământ” (LotL), permițându-le să opereze pe ascuns, combinând activitățile rău intenționate cu comportamentul legitim al rețelei. Mai mult decât atât, folosesc proxy multi-hop, cum ar fi KV-botnet, pentru a obscurca originile atacurilor lor, ceea ce face ca atribuirea să fie dificilă.

CrowdStrike, o firmă de securitate cibernetică, a remarcat că Volt Typhoon se bazează pe o gamă extinsă de instrumente open-source adaptate anumitor victime, demonstrând un nivel ridicat de sofisticare și planificare strategică. Grupul efectuează cu meticulozitate recunoașteri, își adaptează tacticile pentru mediile țintă și menține persistența prin utilizarea de conturi valide și măsuri de securitate operaționale puternice.

Unul dintre obiectivele lor principale este obținerea acreditărilor de administrator în cadrul rețelelor, exploatând defectele de escaladare a privilegiilor pentru a facilita mișcarea laterală și recunoașterea. Strategia lor pe termen lung presupune menținerea accesului la medii compromise, rafinarea continuă a tehnicilor pentru a evita detectarea și extinderea acceselor neautorizate.

Pe lângă acreditările furate, Volt Typhoon folosește tehnici LotL pentru a evita lăsarea de urme de malware, sporind ascunsarea și securitatea operațională a acestora. Ei merg până la ștergerea jurnalelor vizate pentru a-și ascunde acțiunile în medii compromise, complicând și mai mult eforturile de a-și descoperi activitățile.

Această dezvăluire coincide cu constatările Citizen Lab cu privire la o campanie de influență pe scară largă, numită PAPERWALL, care implică peste 123 de site-uri web care uzurpă identitatea posturilor de știri locale din 30 de țări. Aceste site-uri web, legate de o firmă de PR cu sediul la Beijing, numită Shenzhen Haimaiyunxiang Media Co., Ltd., difuzează conținut pro-China în timp ce elimină articolele critice după publicare.

În timp ce ambasada Chinei la Washington respinge acuzațiile de dezinformare, aceste incidente subliniază îngrijorarea tot mai mare cu privire la capacitățile cibernetice ale Chinei și influențează operațiunile la scară globală.