Китайські хакери Volt Typhoon діяли непоміченими протягом 5 років у критичній інфраструктурі США

Уряд США нещодавно оприлюднив інформацію про те, що висококваліфікованій китайській державній хакерській групі, ідентифікованій як Volt Typhoon , вдалося проникнути в мережі критичної інфраструктури Сполучених Штатів і Гуаму, залишаючись непоміченими протягом приголомшливих п’яти років. Ці критично важливі системи, на які націлена Volt Typhoon, охоплюють різні сектори, включаючи зв’язок, енергетику, транспорт, а також управління водопостачанням і стічними водами.

Діяльність Volt Typhoon відрізняє нетрадиційний підхід, що відрізняється від типових операцій кібершпигунства. За словами влади США, тактика групи свідчить про навмисну спробу закріпитися в ІТ-мережах, дозволяючи їм маневрувати в напрямку операційних технологій (OT) з наміром порушити важливі функції .

Спільне повідомлення, опубліковане Агентством кібербезпеки та безпеки інфраструктури (CISA), Агентством національної безпеки (NSA) і Федеральним бюро розслідувань (ФБР), а також підтримкою країн-розвідувальних альянсів Five Eyes, підкреслює серйозність ситуації. Ця хакерська група, також відома як Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda або Voltzite, діє принаймні з червня 2021 року.

Спосіб роботи Volt Typhoon передбачає використання передових методів, таких як «життя за рахунок землі» (LotL), що дозволяє їм працювати таємно, поєднуючи зловмисну діяльність із законною мережевою поведінкою. Крім того, вони використовують проксі-сервери з кількома переходами, такі як KV-ботнет, щоб приховати походження своїх атак, що ускладнює атрибуцію.

CrowdStrike, фірма з кібербезпеки, відзначила залежність Volt Typhoon від широкого набору інструментів з відкритим кодом, адаптованих до конкретних жертв, демонструючи високий рівень витонченості та стратегічного планування. Група ретельно проводить розвідку, пристосовує свою тактику до цільового середовища та підтримує наполегливість, використовуючи дійсні облікові записи та суворі оперативні заходи безпеки.

Однією з їхніх головних цілей є отримання облікових даних адміністратора в мережах, використовуючи недоліки ескалації привілеїв для полегшення бокового переміщення та розвідки. Їхня довгострокова стратегія передбачає підтримку доступу до скомпрометованих середовищ, постійне вдосконалення методів уникнення виявлення та розширення несанкціонованого доступу.

Окрім викрадених облікових даних, Volt Typhoon використовує методи LotL, щоб уникнути залишення слідів зловмисного програмного забезпечення, підвищуючи їх скритність і безпеку роботи. Вони доходять до того, що видаляють цільові журнали, щоб приховати свої дії в скомпрометованих середовищах, що ще більше ускладнює спроби виявити їхню діяльність.

Це викриття збігається з висновками Citizen Lab щодо широкомасштабної кампанії впливу під назвою PAPERWALL, в якій брали участь понад 123 веб-сайти, які видають себе за місцеві новинні видання в 30 країнах. Ці веб-сайти, пов’язані з пекінською PR-компанією Shenzhen Haimaiyunxiang Media Co., Ltd., поширюють прокитайський контент, видаляючи критичні статті після публікації.

Незважаючи на те, що посольство Китаю у Вашингтоні відкидає звинувачення в дезінформації, ці інциденти підкреслюють зростаючу стурбованість щодо кібер-можливостей Китаю та впливу на операції в глобальному масштабі.