Kinesiske Volt Typhoon Hackere drev uopdaget i 5 år i kritisk amerikansk infrastruktur

Den amerikanske regering afslørede for nylig, at en sofistikeret kinesisk statssponsoreret hackergruppe, identificeret som Volt Typhoon , formåede at infiltrere kritiske infrastrukturnetværk i USA og Guam og forblev uopdaget i svimlende fem år. Disse kritiske systemer målrettet af Volt Typhoon spænder over forskellige sektorer, herunder kommunikation, energi, transport og vand- og spildevandshåndtering.

Det, der adskiller Volt Typhoons aktiviteter, er deres ukonventionelle tilgang, der adskiller sig fra typiske cyberspionageoperationer. Ifølge de amerikanske myndigheder tyder gruppens taktik på en overlagt indsats for at etablere fodfæste inden for it-netværk, der gør dem i stand til at manøvrere hen imod Operational Technology (OT)-aktiver med den hensigt at forstyrre væsentlige funktioner .

Den fælles rådgivning udgivet af Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) og Federal Bureau of Investigation (FBI), sammen med støtte fra Five Eyes efterretningsalliancenationerne, fremhæver situationens alvor. Denne hackergruppe, alternativt kendt som Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda eller Voltzite, har været aktiv siden mindst juni 2021.

Volt Typhoons modus operandi involverer brugen af avancerede teknikker såsom 'living off the land' (LotL), som giver dem mulighed for at operere skjult ved at blande ondsindede aktiviteter med legitim netværksadfærd. Desuden anvender de multi-hop proxyer som KV-botnet for at sløre oprindelsen af deres angreb, hvilket gør tilskrivning udfordrende.

CrowdStrike, et cybersikkerhedsfirma, bemærkede Volt Typhoons afhængighed af et omfattende udvalg af open source-værktøjer skræddersyet til specifikke ofre, hvilket demonstrerer et højt niveau af sofistikering og strategisk planlægning. Gruppen udfører omhyggeligt rekognoscering, skræddersy deres taktik til målmiljøer og opretholder vedholdenhed gennem brug af gyldige konti og stærke operationelle sikkerhedsforanstaltninger.

Et af deres primære mål er at opnå administratorlegitimationsoplysninger inden for netværk, ved at udnytte privilegie-eskaleringsfejl for at lette lateral bevægelse og rekognoscering. Deres langsigtede strategi indebærer at opretholde adgangen til kompromitterede miljøer, løbende raffinere deres teknikker for at undgå registrering og udvide uautoriseret adgang.

Ud over stjålne legitimationsoplysninger anvender Volt Typhoon LotL-teknikker for at undgå at efterlade spor af malware, hvilket forbedrer deres stealth og driftssikkerhed. De går så langt som at slette målrettede logfiler for at skjule deres handlinger i kompromitterede miljøer, hvilket yderligere komplicerer bestræbelserne på at afdække deres aktiviteter.

Denne afsløring falder sammen med resultater fra Citizen Lab vedrørende en udbredt indflydelseskampagne, kaldet PAPERWALL, der involverer over 123 websteder, der efterligner lokale nyhedsmedier i 30 lande. Disse websteder, der er knyttet til et Beijing-baseret PR-firma ved navn Shenzhen Haimaiyunxiang Media Co., Ltd., formidler pro-Kina-indhold, mens de fjerner kritiske artikler efter offentliggørelse.

Mens den kinesiske ambassade i Washington afviser påstande om desinformation, understreger disse hændelser den voksende bekymring over Kinas cyberkapacitet og indflydelse på operationer på globalt plan.