Китайските хакери от Volt Typhoon действаха незабелязани в продължение на 5 години в критична инфраструктура на САЩ

Правителството на САЩ наскоро разкри, че усъвършенствана китайска държавна хакерска група, идентифицирана като Volt Typhoon , е успяла да проникне в критични инфраструктурни мрежи в Съединените щати и Гуам, оставайки неоткрита за удивителните пет години. Тези критични системи, насочени към Volt Typhoon, обхващат различни сектори, включително комуникации, енергетика, транспорт и управление на водата и отпадъчните води.

Това, което отличава дейностите на Volt Typhoon, е техният нетрадиционен подход, който се различава от типичните операции за кибер шпионаж. Според американските власти тактиката на групата предполага предварително обмислено усилие да се установи опорна точка в рамките на ИТ мрежите, което им позволява да маневрират към активи на оперативните технологии (OT) с намерението да нарушат основни функции .

Съвместният съвет, публикуван от Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), Агенцията за национална сигурност (NSA) и Федералното бюро за разследване (ФБР), заедно с подкрепата на нациите от разузнавателния алианс Five Eyes, подчертава сериозността на ситуацията. Тази хакерска група, известна още като Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, е активна поне от юни 2021 г.

Начинът на действие на Volt Typhoon включва използването на усъвършенствани техники като „живеене извън земята“ (LotL), което им позволява да действат тайно чрез смесване на злонамерени дейности с легитимно мрежово поведение. Нещо повече, те използват мулти-хоп проксита като KV-botnet, за да скрият произхода на своите атаки, което прави приписването предизвикателство.

CrowdStrike, фирма за киберсигурност, отбеляза зависимостта на Volt Typhoon от широк набор от инструменти с отворен код, пригодени за конкретни жертви, демонстрирайки високо ниво на сложност и стратегическо планиране. Групата щателно провежда разузнаване, адаптира своите тактики към целевите среди и поддържа постоянство чрез използване на валидни акаунти и силни оперативни мерки за сигурност.

Една от основните им цели е да получат администраторски идентификационни данни в мрежите, използвайки недостатъците на ескалацията на привилегиите, за да улеснят страничното движение и разузнаването. Тяхната дългосрочна стратегия включва поддържане на достъп до компрометирана среда, непрекъснато усъвършенстване на техните техники за избягване на откриване и разширяване на неоторизирания достъп.

В допълнение към откраднатите идентификационни данни, Volt Typhoon използва LotL техники, за да избегне оставянето на следи от зловреден софтуер, подобрявайки тяхната стелт и оперативна сигурност. Те стигат до изтриване на целеви регистрационни файлове, за да прикрият действията си в компрометирана среда, което допълнително усложнява усилията за разкриване на техните дейности.

Това разкритие съвпада с констатациите на Citizen Lab относно широко разпространена кампания за влияние, наречена PAPERWALL, включваща над 123 уебсайта, представящи се за местни новинарски издания в 30 държави. Тези уебсайтове, свързани с базирана в Пекин PR фирма на име Shenzhen Haimaiyunxiang Media Co., Ltd., разпространяват прокитайско съдържание, като същевременно премахват критични статии след публикуване.

Докато китайското посолство във Вашингтон отхвърля твърденията за дезинформация, тези инциденти подчертават нарастващата загриженост относно кибернетичните способности на Китай и влияние върху операциите в глобален мащаб.