Кинески хакери Волт Типхоон радили су неоткривени 5 година у критичној америчкој инфраструктури

Америчка влада је недавно открила да је софистицирана кинеска држава спонзорисана хакерска група, идентификована као Волт Тајфун , успела да се инфилтрира у критичне инфраструктурне мреже у Сједињеним Државама и Гуаму, остајући неоткривена невероватних пет година. Ови критични системи на које циља Волт Типхоон обухватају различите секторе укључујући комуникације, енергију, транспорт и управљање водом и отпадним водама.

Оно што разликује активности Волт Типхоон-а је њихов неконвенционалан приступ, који се разликује од типичних операција сајбер шпијунаже. Према америчким властима, тактика групе сугерише унапред смишљени напор да се успостави упориште унутар ИТ мрежа, омогућавајући им да маневришу ка средствима оперативне технологије (ОТ) са намером да поремете основне функције .

Заједнички савет који су објавиле Агенција за сајбер безбедност и инфраструктурну безбедност (ЦИСА), Агенција за националну безбедност (НСА) и Федерални истражни биро (ФБИ), заједно са подршком нација обавештајног савеза Фиве Еиес, наглашава озбиљност ситуације. Ова хакерска група, алтернативно позната као Бронзана силуета, Инсидиоус Таурус, УНЦ3236, Вангуард Панда или Волтзите, активна је најмање од јуна 2021.

Модус операнди Волт Типхоон-а укључује коришћење напредних техника као што је 'живот од земље' (ЛотЛ), омогућавајући им да раде прикривено мешањем злонамерних активности са легитимним мрежним понашањем. Штавише, они користе мулти-хоп проксије као што је КВ-ботнет како би прикрили порекло својих напада, чинећи приписивање изазовним.

ЦровдСтрике, фирма за сајбер безбедност, приметила је ослањање Волта Тајфуна на широку лепезу алата отвореног кода прилагођених одређеним жртвама, демонстрирајући висок ниво софистицираности и стратешког планирања. Група пажљиво спроводи извиђање, прилагођава своју тактику циљаном окружењу и одржава упорност коришћењем валидних налога и јаких оперативних безбедносних мера.

Један од њихових примарних циљева је да добију администраторске акредитиве унутар мрежа, искоришћавајући пропусте ескалације привилегија да би се олакшало бочно кретање и извиђање. Њихова дугорочна стратегија укључује одржавање приступа угроженом окружењу, континуирано усавршавање техника како би избегли откривање и проширили неовлашћене приступе.

Поред украдених акредитива, Волт Типхоон користи ЛотЛ технике како би избегао остављање трагова малвера, побољшавајући њихову скривеност и оперативну безбедност. Они иду чак до брисања циљаних дневника како би сакрили своје радње у угроженим окружењима, што додатно компликује напоре да се открију њихове активности.

Ово откриће се поклапа са открићима Цитизен Лаб-а у вези са широко распрострањеном кампањом утицаја, названом ПАПЕРВАЛЛ, која укључује преко 123 веб странице које се имитирају као локалне новинске куће у 30 земаља. Ове веб странице, повезане са ПР фирмом са седиштем у Пекингу под називом Схензхен Хаимаииункианг Медиа Цо., Лтд., шире прокинески садржај, а уклањају критичне чланке након објављивања.

Док кинеска амбасада у Вашингтону одбацује наводе о дезинформацијама, ови инциденти наглашавају растућу забринутост због кибернетичких способности и утицаја на операције на глобалном нивоу.