Hakerët kinezë të tajfunit volt operuan të pazbuluar për 5 vjet në infrastrukturën kritike të SHBA-së

Qeveria amerikane zbuloi kohët e fundit se një grup i sofistikuar hakerash i sponsorizuar nga shteti kinez, i identifikuar si Volt Typhoon , arriti të depërtonte në rrjetet kritike të infrastrukturës brenda Shteteve të Bashkuara dhe Guam, duke mbetur i pazbuluar për pesë vjet marramendës. Këto sisteme kritike të synuara nga Volt Typhoon shtrihen në sektorë të ndryshëm duke përfshirë komunikimin, energjinë, transportin dhe menaxhimin e ujit dhe ujërave të zeza.

Ajo që i dallon aktivitetet e Volt Typhoon është qasja e tyre jokonvencionale, që ndryshon nga operacionet tipike të spiunazhit kibernetik. Sipas autoriteteve amerikane, taktikat e grupit sugjerojnë një përpjekje të paramenduar për të vendosur një terren brenda rrjeteve të TI-së, duke u mundësuar atyre të manovrojnë drejt aseteve të Teknologjisë Operative (OT) me qëllimin për të ndërprerë funksionet thelbësore .

Këshillimi i përbashkët i lëshuar nga Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA), Agjencia e Sigurisë Kombëtare (NSA) dhe Byroja Federale e Hetimit (FBI), së bashku me mbështetjen nga vendet e aleancës së inteligjencës Five Eyes, thekson peshën e situatës. Ky grup hakerimi, i njohur ndryshe si Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ose Voltzite, ka qenë aktiv të paktën që nga qershori 2021.

Modus operandi i Volt Typhoon përfshin përdorimin e teknikave të avancuara të tilla si 'të jetosh jashtë tokës' (LotL), duke i lejuar ata të veprojnë fshehurazi duke përzier aktivitete keqdashëse me sjelljen legjitime të rrjetit. Për më tepër, ata përdorin proxies multi-hop si KV-botnet për të errësuar origjinën e sulmeve të tyre, duke e bërë atribuimin sfidues.

CrowdStrike, një firmë e sigurisë kibernetike, vuri në dukje mbështetjen e Volt Typhoon në një grup të gjerë mjetesh me burim të hapur të përshtatura për viktima specifike, duke demonstruar një nivel të lartë të sofistikimit dhe planifikimit strategjik. Grupi kryen me përpikëri zbulimin, përshtat taktikat e tyre për mjediset e synuara dhe ruan këmbënguljen nëpërmjet përdorimit të llogarive të vlefshme dhe masave të forta të sigurisë operacionale.

Një nga objektivat e tyre parësorë është të marrin kredencialet e administratorit brenda rrjeteve, duke shfrytëzuar të metat e përshkallëzimit të privilegjit për të lehtësuar lëvizjen anësore dhe zbulimin. Strategjia e tyre afatgjatë përfshin ruajtjen e aksesit në mjedise të komprometuara, duke përmirësuar vazhdimisht teknikat e tyre për të shmangur zbulimin dhe për të zgjeruar akseset e paautorizuara.

Përveç kredencialeve të vjedhura, Volt Typhoon përdor teknika LotL për të shmangur lënien e gjurmëve të malware, duke rritur fshehtësinë e tyre dhe sigurinë operacionale. Ata shkojnë deri në fshirjen e regjistrave të synuar për të fshehur veprimet e tyre brenda mjediseve të komprometuara, duke komplikuar më tej përpjekjet për të zbuluar aktivitetet e tyre.

Ky zbulim përkon me gjetjet nga Citizen Lab në lidhje me një fushatë të përhapur ndikimi, të quajtur PAPERWALL, që përfshin mbi 123 faqe interneti që imitojnë mediat lokale të lajmeve në 30 vende. Këto faqe interneti, të lidhura me një firmë PR me bazë në Pekin të quajtur Shenzhen Haimaiyunxiang Media Co., Ltd., shpërndajnë përmbajtje pro-Kinës ndërsa heqin artikuj kritikë pas publikimit.

Ndërsa ambasada kineze në Uashington hedh poshtë akuzat për dezinformim, këto incidente nënvizojnë shqetësimin në rritje mbi aftësitë kibernetike të Kinës dhe ndikimin e operacioneve në shkallë globale.