Kinesiska Volt Typhoon Hackers opererade oupptäckta i 5 år i kritisk amerikansk infrastruktur

Den amerikanska regeringen avslöjade nyligen att en sofistikerad kinesisk statssponsrad hackergrupp, identifierad som Volt Typhoon , lyckades infiltrera kritiska infrastrukturnätverk inom USA och Guam och förblev oupptäckt i häpnadsväckande fem år. Dessa kritiska system som är inriktade på Volt Typhoon spänner över olika sektorer, inklusive kommunikation, energi, transport och vatten- och avloppsvattenhantering.

Det som utmärker Volt Typhoons verksamhet är deras okonventionella tillvägagångssätt, som avviker från typiska cyberspionageoperationer. Enligt amerikanska myndigheter tyder gruppens taktik på ett överlagt försök att etablera ett fotfäste inom IT-nätverk, vilket gör det möjligt för dem att manövrera mot Operational Technology (OT) tillgångar med avsikten att störa viktiga funktioner .

Den gemensamma rådgivning som släppts av Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) och Federal Bureau of Investigation (FBI), tillsammans med stöd från Five Eyes underrättelsealliansnationer, belyser allvaret i situationen. Denna hackargrupp, alternativt känd som Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda eller Voltzite, har varit aktiv sedan åtminstone juni 2021.

Volt Typhoons modus operandi involverar användningen av avancerade tekniker som att "leva av landet" (LotL), vilket gör att de kan arbeta i hemlighet genom att blanda skadliga aktiviteter med legitimt nätverksbeteende. Dessutom använder de multi-hop proxyservrar som KV-botnet för att fördunkla ursprunget till deras attacker, vilket gör tillskrivningen utmanande.

CrowdStrike, ett cybersäkerhetsföretag, noterade Volt Typhoons beroende av ett omfattande utbud av öppen källkodsverktyg som är skräddarsydda för specifika offer, vilket visar en hög nivå av sofistikering och strategisk planering. Gruppen bedriver noggrant spaning, skräddarsyr sin taktik för målmiljöer och upprätthåller uthållighet genom att använda giltiga konton och starka operativa säkerhetsåtgärder.

Ett av deras primära mål är att erhålla administratörsuppgifter inom nätverk, utnyttja brister i privilegieupptrappning för att underlätta sidorörelser och spaning. Deras långsiktiga strategi innebär att bibehålla åtkomst till utsatta miljöer, kontinuerligt förfina sina tekniker för att undvika upptäckt och utöka obehörig åtkomst.

Utöver stulna referenser använder Volt Typhoon LotL-tekniker för att undvika att lämna spår av skadlig programvara, vilket förbättrar deras smyg- och driftssäkerhet. De går så långt som att ta bort riktade loggar för att dölja sina handlingar i komprometterade miljöer, vilket ytterligare komplicerar ansträngningarna att avslöja deras aktiviteter.

Denna avslöjande sammanfaller med resultaten från Citizen Lab angående en utbredd påverkanskampanj, kallad PAPERWALL, som involverar över 123 webbplatser som utger sig för att vara lokala nyhetskanaler i 30 länder. Dessa webbplatser, länkade till ett Beijing-baserat PR-företag vid namn Shenzhen Haimaiyunxiang Media Co., Ltd., sprider pro-Kina innehåll samtidigt som de tar bort kritiska artiklar efter publicering.

Medan den kinesiska ambassaden i Washington avfärdar anklagelser om desinformation, understryker dessa incidenter den växande oron över Kinas cyberförmåga och påverkar verksamheten på global nivå.