Čínski hackeri Volt Typhoon fungovali bez odhalenia 5 rokov v kritickej infraštruktúre USA

Americká vláda nedávno zverejnila, že sofistikovanej hackerskej skupine podporovanej čínskym štátom, identifikovanej ako Volt Typhoon , sa podarilo infiltrovať siete kritickej infraštruktúry v Spojených štátoch a na Guame, pričom zostala neodhalená ohromujúcich päť rokov. Tieto kritické systémy, na ktoré sa zameriava Volt Typhoon, pokrývajú rôzne sektory vrátane komunikácií, energetiky, dopravy a vodného a odpadového hospodárstva.

To, čo odlišuje aktivity Volta Typhoonu, je ich nekonvenčný prístup, ktorý sa líši od typických kyberšpionážnych operácií. Podľa amerických úradov taktika skupiny naznačuje vopred premyslené úsilie o vytvorenie oporu v rámci IT sietí, čo im umožní manévrovať smerom k prevádzkovým technológiám (OT) s úmyslom narušiť základné funkcie .

Spoločné poradenstvo vydané Agentúrou pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), Národnou bezpečnostnou agentúrou (NSA) a Federálnym úradom pre vyšetrovanie (FBI) spolu s podporou krajín spravodajskej aliancie Five Eyes zdôrazňuje vážnosť situácie. Táto hackerská skupina, alternatívne známa ako Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda alebo Voltzite, je aktívna minimálne od júna 2021.

Modus operandi spoločnosti Volt Typhoon zahŕňa využitie pokročilých techník, ako je „život z pôdy“ (LotL), čo im umožňuje pracovať skryto spájaním škodlivých aktivít s legitímnym správaním siete. Okrem toho používajú multi-hop proxy, ako je KV-botnet, aby zahmlili pôvod svojich útokov, čo sťažuje pripisovanie.

CrowdStrike, spoločnosť zaoberajúca sa kybernetickou bezpečnosťou, si všimla, že Volt Typhoon sa spolieha na širokú škálu open source nástrojov prispôsobených konkrétnym obetiam, čo preukázalo vysokú úroveň sofistikovanosti a strategického plánovania. Skupina dôsledne vykonáva prieskum, prispôsobuje svoju taktiku cieľovému prostrediu a udržiava vytrvalosť pomocou platných účtov a silných operačných bezpečnostných opatrení.

Jedným z ich primárnych cieľov je získať poverenia správcu v rámci sietí, využívajúc nedostatky pri eskalácii privilégií na uľahčenie bočného pohybu a prieskumu. Ich dlhodobá stratégia zahŕňa udržiavanie prístupu do kompromitovaných prostredí, neustále zdokonaľovanie ich techník, aby sa vyhli detekcii a rozšírili neoprávnené prístupy.

Okrem ukradnutých prihlasovacích údajov využíva Volt Typhoon techniky LotL, aby sa vyhli zanechaniu stôp malvéru, čím sa zvyšuje ich utajenie a prevádzková bezpečnosť. Zachádzajú tak ďaleko, že vymazávajú cielené protokoly, aby skryli svoje činy v kompromitovanom prostredí, čo ešte viac komplikuje snahy o odhalenie ich aktivít.

Toto odhalenie sa zhoduje so zisteniami Citizen Lab o rozsiahlej ovplyvňovacej kampani nazvanej PAPERWALL, ktorá zahŕňa viac ako 123 webových stránok vydávajúcich sa za miestne spravodajské kanály v 30 krajinách. Tieto webové stránky prepojené s PR firmou Shenzhen Haimaiyunxiang Media Co., Ltd. so sídlom v Pekingu šíria pročínsky obsah a po zverejnení odstraňujú kritické články.

Zatiaľ čo čínske veľvyslanectvo vo Washingtone odmieta obvinenia z dezinformácií, tieto incidenty podčiarkujú rastúce znepokojenie nad čínskymi kybernetickými schopnosťami a ovplyvňovaním operácií v globálnom meradle.