Kitajski hekerji Volt Typhoon so 5 let neodkriti delovali v kritični ameriški infrastrukturi

Ameriška vlada je nedavno razkrila, da se je prefinjeni hekerski skupini, ki jo sponzorira kitajska država, identificirana kot Volt Typhoon , uspelo infiltrirati v kritična infrastrukturna omrežja v Združenih državah in Guamu, pri čemer je ostala neodkrita osupljivih pet let. Ti kritični sistemi, ki jih cilja Volt Typhoon, segajo v različne sektorje, vključno s komunikacijami, energijo, transportom ter upravljanjem vode in odpadne vode.

Dejavnosti Volta Typhoona odlikuje njihov nekonvencionalen pristop, ki se razlikuje od tipičnih operacij kibernetskega vohunjenja. Po navedbah ameriških oblasti taktika skupine kaže na premišljeno prizadevanje za vzpostavitev opore v omrežjih IT, kar jim omogoča manevriranje proti sredstvu operativne tehnologije (OT) z namenom motenj bistvenih funkcij .

Skupno svetovanje, ki so ga objavili Agencija za kibernetsko varnost in infrastrukturno varnost (CISA), Agencija za nacionalno varnost (NSA) in Zvezni preiskovalni urad (FBI), skupaj s podporo držav obveščevalne zveze Five Eyes, poudarja resnost situacije. Ta hekerska skupina, znana tudi kot Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ali Voltzite, je aktivna vsaj od junija 2021.

Način delovanja Volt Typhoon vključuje uporabo naprednih tehnik, kot je 'živeti od zemlje' (LotL), kar jim omogoča prikrito delovanje z mešanjem zlonamernih dejavnosti z zakonitim vedenjem omrežja. Poleg tega uporabljajo posrednike z več skoki, kot je KV-botnet, da prikrijejo izvore svojih napadov, zaradi česar je pripisovanje zahtevno.

CrowdStrike, podjetje za kibernetsko varnost, je opazilo, da se Volt Typhoon zanaša na obsežno paleto odprtokodnih orodij, prilagojenih specifičnim žrtvam, kar dokazuje visoko raven sofisticiranosti in strateškega načrtovanja. Skupina natančno izvaja izvidovanje, prilagaja svoje taktike ciljnim okoljem in ohranja vztrajnost z uporabo veljavnih računov in močnimi operativnimi varnostnimi ukrepi.

Eden od njihovih primarnih ciljev je pridobiti skrbniške poverilnice v omrežjih, pri čemer izkoriščajo pomanjkljivosti stopnjevanja privilegijev za olajšanje bočnega gibanja in izvidovanja. Njihova dolgoročna strategija vključuje ohranjanje dostopa do ogroženih okolij, nenehno izpopolnjevanje njihovih tehnik za izogibanje odkrivanju in razširitev nepooblaščenih dostopov.

Poleg ukradenih poverilnic Volt Typhoon uporablja tehnike LotL, da prepreči puščanje sledi zlonamerne programske opreme, s čimer izboljša njihovo prikrito in operativno varnost. Gredo tako daleč, da izbrišejo ciljne dnevnike, da prikrijejo svoja dejanja v ogroženih okoljih, kar dodatno otežuje prizadevanja za odkrivanje njihovih dejavnosti.

To razkritje sovpada z ugotovitvami Citizen Laba glede razširjene kampanje vplivanja, imenovane PAPERWALL, ki vključuje več kot 123 spletnih mest, ki se predstavljajo kot lokalne novice v 30 državah. Ta spletna mesta, povezana s podjetjem za odnose z javnostmi s sedežem v Pekingu Shenzhen Haimaiyunxiang Media Co., Ltd., razširjajo prokitajsko vsebino, medtem ko po objavi odstranjujejo kritične članke.

Medtem ko kitajsko veleposlaništvo v Washingtonu zavrača obtožbe o dezinformacijah, ti incidenti poudarjajo naraščajočo zaskrbljenost zaradi kitajskih kibernetskih zmogljivosti in vpliva na operacije v svetovnem merilu.