Penggodam Taufan Volt China Beroperasi Tidak Dikesan Selama 5 Tahun dalam Infrastruktur Kritikal AS

Kerajaan AS baru-baru ini mendedahkan bahawa kumpulan penggodam tajaan negara China yang canggih, yang dikenal pasti sebagai Volt Typhoon , berjaya menyusup ke rangkaian infrastruktur kritikal di dalam Amerika Syarikat dan Guam, kekal tidak dapat dikesan selama lima tahun yang mengejutkan. Sistem kritikal yang disasarkan oleh Volt Typhoon ini merangkumi pelbagai sektor termasuk komunikasi, tenaga, pengangkutan dan pengurusan air dan air sisa.

Apa yang membezakan aktiviti Volt Typhoon ialah pendekatan mereka yang tidak konvensional, menyimpang daripada operasi pengintipan siber biasa. Menurut pihak berkuasa AS, taktik kumpulan itu mencadangkan usaha terancang untuk mewujudkan kedudukan dalam rangkaian IT, membolehkan mereka bergerak ke arah aset Teknologi Operasi (OT) dengan niat untuk mengganggu fungsi penting .

Nasihat bersama yang dikeluarkan oleh Agensi Keselamatan Siber dan Infrastruktur (CISA), Agensi Keselamatan Negara (NSA), dan Biro Penyiasatan Persekutuan (FBI), bersama-sama dengan sokongan daripada negara perikatan perisikan Five Eyes, menyerlahkan keseriusan situasi itu. Kumpulan penggodaman ini, atau dikenali sebagai Siluet Gangsa, Insidious Taurus, UNC3236, Vanguard Panda atau Voltzite, telah aktif sejak sekurang-kurangnya Jun 2021.

Modus operandi Volt Typhoon melibatkan penggunaan teknik canggih seperti 'hidup di luar tanah' (LotL), membolehkan mereka beroperasi secara rahsia dengan menggabungkan aktiviti berniat jahat dengan tingkah laku rangkaian yang sah. Selain itu, mereka menggunakan proksi berbilang hop seperti KV-botnet untuk mengaburkan asal-usul serangan mereka, menjadikan atribusi mencabar.

CrowdStrike, firma keselamatan siber, menyatakan pergantungan Volt Typhoon pada pelbagai alat sumber terbuka yang disesuaikan untuk mangsa tertentu, menunjukkan tahap kecanggihan dan perancangan strategik yang tinggi. Kumpulan itu menjalankan peninjauan dengan teliti, menyesuaikan taktik mereka kepada persekitaran sasaran, dan mengekalkan kegigihan melalui penggunaan akaun yang sah dan langkah keselamatan operasi yang kukuh.

Salah satu objektif utama mereka adalah untuk mendapatkan kelayakan pentadbir dalam rangkaian, mengeksploitasi kelemahan peningkatan keistimewaan untuk memudahkan pergerakan sisi dan peninjauan. Strategi jangka panjang mereka melibatkan mengekalkan akses kepada persekitaran yang terjejas, terus memperhalusi teknik mereka untuk mengelakkan pengesanan dan mengembangkan akses tanpa kebenaran.

Sebagai tambahan kepada bukti kelayakan yang dicuri, Volt Typhoon menggunakan teknik LotL untuk mengelak daripada meninggalkan kesan perisian hasad, meningkatkan keselamatan dan keselamatan operasinya. Mereka pergi setakat memadamkan log yang disasarkan untuk menyembunyikan tindakan mereka dalam persekitaran yang terjejas, seterusnya merumitkan usaha untuk mendedahkan aktiviti mereka.

Pendedahan ini bertepatan dengan penemuan daripada Citizen Lab mengenai kempen pengaruh yang meluas, digelar PAPERWALL, melibatkan lebih 123 tapak web yang menyamar sebagai saluran berita tempatan di 30 negara. Laman web ini, dipautkan kepada firma PR yang berpangkalan di Beijing bernama Shenzhen Haimaiyunxiang Media Co., Ltd., menyebarkan kandungan pro-China sambil mengalih keluar artikel kritikal selepas penerbitan.

Walaupun kedutaan China di Washington menolak dakwaan salah maklumat, insiden ini menggariskan kebimbangan yang semakin meningkat terhadap keupayaan siber China dan mempengaruhi operasi pada skala global.