Китайские хакеры «Вольт-тайфун» действовали незамеченными в течение 5 лет в критически важной инфраструктуре США

Правительство США недавно сообщило, что сложной хакерской группе, спонсируемой китайским государством, известной как Volt Typhoon , удалось проникнуть в сети критической инфраструктуры в Соединенных Штатах и на Гуаме, оставаясь незамеченной в течение ошеломляющих пяти лет. Эти критически важные системы, на которые нацелен «Тайфун Вольт», охватывают различные сектора, включая связь, энергетику, транспорт, а также управление водными ресурсами и сточными водами.

Что отличает деятельность «Вольт Тайфун», так это нетрадиционный подход, отличающийся от типичных операций кибершпионажа. По мнению властей США, тактика группы предполагает преднамеренную попытку закрепиться в ИТ-сетях, что позволит им маневрировать в направлении активов операционных технологий (ОТ) с намерением нарушить основные функции .

Совместный доклад, опубликованный Агентством кибербезопасности и безопасности инфраструктуры (CISA), Агентством национальной безопасности (АНБ) и Федеральным бюро расследований (ФБР), а также при поддержке стран разведывательного альянса Five Eyes, подчеркивает серьезность ситуации. Эта хакерская группа, также известная как Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, активна как минимум с июня 2021 года.

Принцип работы Volt Typhoon предполагает использование передовых методов, таких как «жизнь за счет земли» (LotL), что позволяет им действовать скрытно, сочетая вредоносную деятельность с законным поведением сети. Более того, они используют многопрофильные прокси-серверы, такие как KV-ботнет, чтобы скрыть происхождение своих атак, что затрудняет установление авторства.

Компания CrowdStrike, занимающаяся кибербезопасностью, отметила, что Volt Typhoon полагается на обширный набор инструментов с открытым исходным кодом, адаптированных для конкретных жертв, демонстрируя высокий уровень сложности и стратегического планирования. Группа тщательно проводит разведку, адаптирует свою тактику к целевой среде и сохраняет устойчивость за счет использования действительных учетных записей и строгих мер оперативной безопасности.

Одна из их основных целей — получить учетные данные администратора в сетях, используя недостатки повышения привилегий для облегчения горизонтального перемещения и разведки. Их долгосрочная стратегия предполагает поддержание доступа к скомпрометированным средам, постоянное совершенствование методов уклонения от обнаружения и расширения несанкционированного доступа.

Помимо украденных учетных данных, Volt Typhoon использует методы LotL, чтобы не оставлять следов вредоносных программ, повышая их скрытность и операционную безопасность. Они доходят до удаления целевых журналов, чтобы скрыть свои действия в скомпрометированных средах, что еще больше усложняет усилия по раскрытию их деятельности.

Это открытие совпадает с выводами Citizen Lab относительно широко распространенной кампании влияния, получившей название PAPERWALL, в которой участвуют более 123 веб-сайтов, выдающих себя за местные новостные агентства в 30 странах. Эти веб-сайты, связанные с базирующейся в Пекине пиар-фирмой Shenzhen Haimaiyunxiang Media Co., Ltd., распространяют прокитайский контент, удаляя при этом критические статьи после публикации.

Хотя посольство Китая в Вашингтоне отвергает обвинения в дезинформации, эти инциденты подчеркивают растущую обеспокоенность по поводу кибервозможностей Китая и влияния на операции в глобальном масштабе.