Ang mga Chinese Volt Typhoon Hacker ay Nag-operate na Hindi Natukoy sa loob ng 5 Taon sa Kritikal na Imprastraktura ng US
Ibinunyag kamakailan ng gobyerno ng US na ang isang sopistikadong Chinese state-sponsored hacking group, na kinilala bilang Volt Typhoon , ay nagawang makalusot sa mga kritikal na network ng imprastraktura sa loob ng United States at Guam, na nananatiling hindi natukoy sa loob ng nakakagulat na limang taon. Ang mga kritikal na sistemang ito na tina-target ng Volt Typhoon ay sumasaklaw sa iba't ibang sektor kabilang ang komunikasyon, enerhiya, transportasyon, at pamamahala ng tubig at wastewater.
Ang pinagkaiba ng mga aktibidad ng Volt Typhoon ay ang kanilang hindi kinaugalian na diskarte, na lumalayo sa mga tipikal na operasyon ng cyber espionage. Ayon sa mga awtoridad ng US, ang mga taktika ng grupo ay nagmumungkahi ng isang pinaghandaang pagsisikap na magtatag ng isang foothold sa loob ng mga network ng IT, na nagbibigay-daan sa kanila na magmaniobra patungo sa mga asset ng Operational Technology (OT) na may layuning guluhin ang mga mahahalagang function .
Ang pinagsamang advisory na inilabas ng Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), at Federal Bureau of Investigation (FBI), kasama ang suporta mula sa Five Eyes intelligence alliance nations, ay nagpapakita ng bigat ng sitwasyon. Ang pangkat ng pag-hack na ito, na kilala bilang Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda, o Voltzite, ay naging aktibo mula noong Hunyo 2021.
Ang modus operandi ng Volt Typhoon ay nagsasangkot ng paggamit ng mga advanced na diskarte tulad ng 'living off the land' (LotL), na nagpapahintulot sa kanila na gumana nang patago sa pamamagitan ng paghahalo ng mga malisyosong aktibidad sa lehitimong pag-uugali ng network. Bukod dito, gumagamit sila ng mga multi-hop na proxies tulad ng KV-botnet upang i-obfuscate ang pinagmulan ng kanilang mga pag-atake, na ginagawang mahirap ang pagpapatungkol.
Napansin ng CrowdStrike, isang cybersecurity firm, ang pagtitiwala ng Volt Typhoon sa isang malawak na hanay ng mga open-source na tool na iniayon sa mga partikular na biktima, na nagpapakita ng mataas na antas ng pagiging sopistikado at estratehikong pagpaplano. Ang grupo ay maingat na nagsasagawa ng reconnaissance, iniangkop ang kanilang mga taktika sa mga target na kapaligiran, at nagpapanatili ng pagtitiyaga sa pamamagitan ng paggamit ng mga wastong account at malakas na mga hakbang sa seguridad sa pagpapatakbo.
Ang isa sa kanilang mga pangunahing layunin ay upang makakuha ng mga kredensyal ng administrator sa loob ng mga network, pagsasamantala sa mga depekto sa pagdami ng pribilehiyo upang mapadali ang paggalaw sa gilid at pagmamanman. Kasama sa kanilang pangmatagalang diskarte ang pagpapanatili ng access sa mga nakompromisong kapaligiran, patuloy na pinipino ang kanilang mga diskarte upang maiwasan ang pagtuklas at palawakin ang mga hindi awtorisadong pag-access.
Bilang karagdagan sa mga ninakaw na kredensyal, gumagamit ang Volt Typhoon ng mga diskarte sa LotL upang maiwasan ang pag-iiwan ng mga bakas ng malware, na nagpapahusay sa kanilang stealth at seguridad sa pagpapatakbo. Napupunta sila hanggang sa pagtanggal ng mga naka-target na log upang itago ang kanilang mga aksyon sa loob ng mga nakompromisong kapaligiran, na lalong nagpapakumplikado sa mga pagsisikap na alisan ng takip ang kanilang mga aktibidad.
Ang paghahayag na ito ay kasabay ng mga natuklasan mula sa Citizen Lab tungkol sa malawakang impluwensyang kampanya, na tinatawag na PAPERWALL, na kinasasangkutan ng mahigit 123 website na nagpapanggap bilang mga lokal na news outlet sa 30 bansa. Ang mga website na ito, na naka-link sa isang PR firm na nakabase sa Beijing na pinangalanang Shenzhen Haimaiyunxiang Media Co., Ltd., ay nagpapakalat ng pro-China na nilalaman habang inaalis ang mga kritikal na artikulo pagkatapos ng publikasyon.
Bagama't itinatanggi ng embahada ng China sa Washington ang mga paratang ng disinformation, binibigyang-diin ng mga insidenteng ito ang lumalaking pag-aalala sa mga kakayahan sa cyber ng China at nakakaimpluwensya sa mga operasyon sa isang pandaigdigang saklaw.