Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Правительство США в среду заявило, что спонсируемая государством хакерская группа Китая, известная как Volt Typhoon, была внедрена в некоторые сети критической инфраструктуры в стране не менее пяти лет.
Целями злоумышленников являются секторы связи, энергетики, транспорта, систем водоснабжения и канализации в США и на Гуаме.
"Выбор целей и модели поведения Volt Typhoon не согласуется с традиционным кибершпионажем или операциями по сбору разведданных, и авторские агентства США с высокой степенью уверенности оценивают, что участники Volt Typhoon заранее позиционируют себя в ИТ-сетях, чтобы обеспечить боковое перемещение активов OT для нарушения функций", - заявило правительство США.
Совместное консультативное заключение, опубликованное Агентством кибербезопасности и инфраструктурной безопасности (CISA), Агентством национальной безопасности (АНБ) и Федеральным бюро расследований (ФБР), также было поддержано другими странами, входящими в разведывательный альянс Five Eyes (FVEY), в который входят Австралия, Канада, Новая Зеландия, Великобритания.
Volt Typhoon, которую также называют Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, – скрытная китайская группа кибершпионажа, которая, как считается, действует с июня 2021 года.
Впервые об этом стало известно в мае 2023 года, когда Microsoft раскрыла, что хакерской команде удалось на длительный период времени прочно закрепиться в организациях критической инфраструктуры в США и на Гуаме, не будучи обнаруженной, в основном с использованием методов жизни за пределами суши (LotL).
"Этот вид мошенничества, известный как "жизнь за счет земли", позволяет злоумышленникам действовать скрытно, при этом вредоносная активность сочетается с законным системным и сетевым поведением, что затрудняет дифференциацию даже организациям с более зрелыми подходами к обеспечению безопасности", – сказал Национальный центр кибербезопасности Великобритании (NCSC).
Еще одной отличительной тактикой, принятой Volt Typhoon, является использование прокси-серверов с несколькими переходами, таких как KV-ботнет, для маршрутизации вредоносного трафика через сеть скомпрометированных маршрутизаторов и брандмауэров в США, чтобы скрыть его истинное происхождение.
Компания CrowdStrike, занимающаяся кибербезопасностью, в отчете, опубликованном в июне 2023 года, подчеркнула, что для достижения своих стратегических целей она полагается на обширный арсенал инструментов с открытым исходным кодом против узкого круга жертв.
"Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы узнать о целевой организации и ее окружении; адаптируют свою тактику, методы и процедуры (TTP) к среде жертвы; и выделяют текущие ресурсы для поддержания постоянства и понимания целевой среды с течением времени, даже после первоначального компромисса", - отметили агентства.
"Группа также полагается на действительные учетные записи и использует надежную операционную безопасность, что в совокупности обеспечивает долгосрочную сохранность без обнаружения".
Более того, было замечено, что национальное государство пытается получить учетные данные администратора в сети, используя недостатки в повышении привилегий, впоследствии используя повышенный доступ для облегчения горизонтального перемещения, разведки и полной компрометации домена.
Конечная цель кампании - сохранить доступ к скомпрометированным средам, "методично" перенацеливая их на протяжении многих лет, чтобы подтвердить и расширить возможности их несанкционированного доступа. Такой тщательный подход, по мнению агентств, подтверждается случаями, когда они неоднократно удаляли учетные данные домена, чтобы обеспечить доступ к текущим и действительным учетным записям.
"В дополнение к использованию украденных учетных данных, злоумышленники используют методы LOTL и избегают оставлять вредоносные артефакты в системах, которые могли бы вызвать оповещения", - заявили CISA, ФБР и АНБ.
"Их сильный акцент на скрытности и операционной безопасности позволяет им поддерживать долгосрочную, неоткрытую устойчивость. Кроме того, операционная безопасность Volt Typhoon повышается за счет целенаправленного удаления журналов, чтобы скрыть их действия в скомпрометированной среде ".
Развитие событий произошло после того, как Citizen Lab выявила сеть по меньшей мере из 123 веб-сайтов, выдающих себя за местные новостные агентства, охватывающую 30 стран Европы, Азии и Латинской Америки, которая продвигает прокитайский контент в рамках широкомасштабной кампании влияния, связанной с пекинской фирмой по связям с общественностью Shenzhen Haimaiyunxiang Media Co., Ltd.
Базирующийся в Торонто digital watchdog, получивший название influence operation PAPERWALL, заявил, что он имеет сходство с HaiEnergy, хотя у него разные операторы и уникальные TTP.
"Центральной особенностью PAPERWALL, наблюдаемой во всей сети веб-сайтов, является эфемерность его наиболее агрессивных компонентов, в результате чего статьи с нападками на критику Пекина регулярно удаляются с этих веб-сайтов через некоторое время после их публикации", - сказали в Citizen Lab.
В заявлении, которым поделился Reuters представитель посольства Китая в Вашингтоне, говорится, что "это типичная предвзятость и двойные стандарты - утверждать, что прокитайское содержание и отчеты являются "дезинформацией", а антикитайское называть "правдивой информацией"".
