แฮกเกอร์ Volt Typhoon ของจีนดำเนินการตรวจไม่พบเป็นเวลา 5 ปีในโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

รัฐบาลสหรัฐฯ เปิดเผยเมื่อเร็วๆ นี้ว่ากลุ่มแฮ็กเกอร์ที่มีความซับซ้อนซึ่งได้รับการสนับสนุนจากรัฐจีน ซึ่งเรียกว่า Volt Typhoon สามารถแทรกซึมเครือข่ายโครงสร้างพื้นฐานที่สำคัญภายในสหรัฐอเมริกาและกวม โดยยังคงไม่ถูกตรวจพบเป็นเวลาห้าปีที่น่าตกใจ ระบบที่สำคัญเหล่านี้ตกเป็นเป้าหมายของ Volt Typhoon ครอบคลุมภาคส่วนต่างๆ รวมถึงการสื่อสาร พลังงาน การขนส่ง และการจัดการน้ำและน้ำเสีย

สิ่งที่ทำให้กิจกรรมของ Volt Typhoon แตกต่างออกไปก็คือแนวทางที่แหวกแนว ซึ่งแตกต่างไปจากปฏิบัติการจารกรรมทางไซเบอร์ทั่วไป ตามที่ทางการสหรัฐฯ ระบุ กลยุทธ์ของกลุ่มนี้ชี้ให้เห็นถึงความพยายามที่ไตร่ตรองไว้ล่วงหน้าเพื่อสร้างฐานที่มั่นภายในเครือข่ายไอที ทำให้พวกเขาสามารถควบคุมสินทรัพย์เทคโนโลยีปฏิบัติการ (OT) โดยมี จุดประสงค์เพื่อขัดขวางการทำงานที่สำคัญ

คำแนะนำร่วมที่เผยแพร่โดยหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA), สำนักงานความมั่นคงแห่งชาติ (NSA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) พร้อมด้วยการสนับสนุนจากประเทศพันธมิตรข่าวกรอง Five Eyes เน้นย้ำถึงความร้ายแรงของสถานการณ์ กลุ่มแฮ็กนี้หรือที่รู้จักกันในชื่อ Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda หรือ Voltzite เปิดใช้งานตั้งแต่อย่างน้อยเดือนมิถุนายน 2021

วิธีการดำเนินการของ Volt Typhoon เกี่ยวข้องกับการใช้เทคนิคขั้นสูง เช่น 'การใช้ชีวิตนอกพื้นที่' (LotL) ช่วยให้สามารถดำเนินการอย่างซ่อนเร้นโดยผสมผสานกิจกรรมที่เป็นอันตรายเข้ากับพฤติกรรมเครือข่ายที่ถูกต้องตามกฎหมาย นอกจากนี้ พวกเขายังใช้พร็อกซีแบบมัลติฮอป เช่น KV-botnet เพื่อทำให้ต้นกำเนิดของการโจมตีซับซ้อนขึ้น ซึ่งทำให้การระบุแหล่งที่มาเป็นเรื่องที่ท้าทาย

CrowdStrike ซึ่งเป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ ระบุว่า Volt Typhoon พึ่งพาเครื่องมือโอเพ่นซอร์สที่หลากหลายซึ่งปรับให้เหมาะกับเหยื่อเฉพาะราย ซึ่งแสดงให้เห็นถึงความซับซ้อนและการวางแผนเชิงกลยุทธ์ในระดับสูง กลุ่มนี้ดำเนินการลาดตระเวนอย่างพิถีพิถัน ปรับกลยุทธ์ให้เหมาะกับสภาพแวดล้อมเป้าหมาย และรักษาความคงอยู่ผ่านการใช้บัญชีที่ถูกต้องและมาตรการรักษาความปลอดภัยในการปฏิบัติงานที่เข้มงวด

หนึ่งในวัตถุประสงค์หลักของพวกเขาคือการได้รับข้อมูลประจำตัวของผู้ดูแลระบบภายในเครือข่าย โดยใช้ประโยชน์จากข้อบกพร่องในการยกระดับสิทธิ์เพื่ออำนวยความสะดวกในการเคลื่อนย้ายด้านข้างและการลาดตระเวน กลยุทธ์ระยะยาวของพวกเขาเกี่ยวข้องกับการรักษาการเข้าถึงสภาพแวดล้อมที่ถูกบุกรุก ปรับปรุงเทคนิคอย่างต่อเนื่องเพื่อหลบเลี่ยงการตรวจจับและขยายการเข้าถึงที่ไม่ได้รับอนุญาต

นอกเหนือจากข้อมูลประจำตัวที่ถูกขโมยแล้ว Volt Typhoon ยังใช้เทคนิค LotL เพื่อหลีกเลี่ยงไม่ให้ทิ้งร่องรอยของมัลแวร์ เพิ่มการลักลอบและความปลอดภัยในการปฏิบัติงาน พวกเขาพยายามลบบันทึกเป้าหมายเพื่อปกปิดการกระทำของตนภายในสภาพแวดล้อมที่ถูกบุกรุก และทำให้ความพยายามในการเปิดเผยกิจกรรมของพวกเขาซับซ้อนยิ่งขึ้น

การเปิดเผยนี้เกิดขึ้นพร้อมกับการค้นพบจาก Citizen Lab เกี่ยวกับแคมเปญที่มีอิทธิพลอย่างกว้างขวางในชื่อ PAPERWALL ซึ่งเกี่ยวข้องกับเว็บไซต์กว่า 123 แห่งที่แอบอ้างเป็นสำนักข่าวท้องถิ่นใน 30 ประเทศ เว็บไซต์เหล่านี้เชื่อมโยงกับบริษัทประชาสัมพันธ์ในกรุงปักกิ่งชื่อเซินเจิ้น Haimaiyunxiang Media Co., Ltd. เผยแพร่เนื้อหาที่สนับสนุนจีนในขณะที่ลบบทความที่สำคัญหลังจากตีพิมพ์

แม้ว่าสถานทูตจีนในวอชิงตันจะเพิกเฉยต่อข้อกล่าวหาเรื่องการบิดเบือนข้อมูล แต่เหตุการณ์เหล่านี้ตอกย้ำความกังวลที่เพิ่มมากขึ้นเกี่ยวกับความสามารถทางไซเบอร์ของจีน และมีอิทธิพลต่อการดำเนินงานในระดับโลก