Chinas Cyberangreifer-Manöver zur Störung kritischer US-Infrastruktur

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat einen Bericht herausgegeben, in dem detailliert beschrieben wird, wie hoch die von China unterstützte Advanced Persistent Threat (APT) Volt Typhoon ist Konsequente Ausrichtung auf hochsensible kritische Infrastruktur, mit neuen Informationen darüber, wie sich Cyberangreifer in Netzwerke der operativen Technologie (OT) verlagern, sobald sie sich darin eingenistet haben.

Angesichts der Tatsache, dass das OT-Netzwerk für die physischen Funktionen von industriellen Steuerungssystemen (ICS) und Überwachungskontroll- und Datenerfassungsgeräten (SCADA) verantwortlich ist, bestätigen die Ergebnisse dies eindeutig anhaltender Verdacht dass chinesische Hacker versuchen, kritische physische Vorgänge im Energiebereich zu stören, Wasser Zubehör, Kommunikation und Transport, vermutlich um im Falle eines kinetischer Flächenbrand zwischen den USA und China.

„Volt Typhoon-Akteure positionieren sich vorab in IT-Netzwerken, um laterale Bewegungen zu OT-Assets zu ermöglichen und so Funktionen zu stören“, heißt es CISAs Volt Typhoon-Beratung. [Wir] „sind besorgt über die Möglichkeit, dass diese Akteure ihren Netzwerkzugang für störende Auswirkungen im Falle möglicher geopolitischer Spannungen und/oder militärischer Konflikte nutzen könnten.“

Laut John Hultquist, Chefanalyst bei Mandiant Intelligence/Google Cloud, handelt es sich um eine Reihe wichtiger Enthüllungen.

„Früher konnten wir aus der Zielgruppenansprache ableiten, dass der Schauspieler eine hatte starkes Interesse an kritischer Infrastruktur das hatte wenig nachrichtendienstlichen Wert“, sagte er in einer per E-Mail verschickten Analyse. Der CISA-Bericht zeigt jedoch, dass „Volt Typhoon Informationen über OT-Systeme sammelt und sogar in diese eindringt – die hochsensiblen Systeme, die die physischen Prozesse im Herzen kritischer Infrastruktur ausführen“, fügte er hinzu. „Unter den richtigen Bedingungen OT-Systeme könnten manipuliert werden Dies kann zu erheblichen Ausfällen wesentlicher Dienste führen oder sogar gefährliche Bedingungen schaffen.“

Hultquist fügte hinzu: „Wenn es irgendeinen Skeptizismus gab, warum dieser Schauspieler diese Eingriffe durchführt, sollte diese Enthüllung ihn ausräumen.“

Fünf Jahre lang vom Land leben und sich verstecken

CISA enthüllte heute außerdem, dass sich Volt Typhoon (auch bekannt als Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite und Insidious Taurus) ein halbes Jahrzehnt lang heimlich in der US-Infrastruktur versteckt hat – obwohl sie die ersten waren von Microsoft öffentlich geoutet erst letztes Jahr.

„Im Gegensatz zu Ransomware-Betreibern, deren Ziel es ist, schnell einzudringen und Schaden anzurichten, nutzt dieser staatliche Betreiber gültige Konten und „vom Land leben“ [LOTL] Techniken, um der Entdeckung über lange Zeiträume zu entgehen“, sagte Ken Westin, Außendienst-CISO bei Panther Lab, in einem per E-Mail gesendeten Kommentar. „Diese Methoden ermöglichen es der Gruppe, ihre Ziele zu überwachen und einen Halt zu schaffen, um kinetischen Schaden zu verursachen.“

Darüber hinaus ist die APT „auch auf gültige Konten angewiesen und nutzt eine starke Betriebssicherheit, die … eine langfristige unentdeckte Persistenz ermöglicht“, erklärte CISA. „Die Akteure von Volt Typhoon führen umfangreiche Aufklärungskampagnen vor der Ausbeutung durch, um mehr über die Zielorganisation und ihre Umgebung zu erfahren. Passen Sie ihre Taktiken, Techniken und Verfahren (TTPs) an die Umgebung des Opfers an. und widmen Sie fortlaufend Ressourcen der Aufrechterhaltung der Beständigkeit und des Verständnisses der Zielumgebung im Laufe der Zeit, selbst nach anfänglicher Kompromittierung.“

Während die Strategie von Volt Typhoon darin besteht, durch die Verwendung seriöser Versorgungseinrichtungen verborgen zu bleiben und sich in den normalen Verkehr einzumischen ist kein neues Phänomen in der Cyberkriminalität, es macht es potenziellen Zielen allerdings schwer, aktiv nach böswilligen Aktivitäten zu suchen, heißt es CISA, das umfangreiche LOTL-Leitlinien herausgab heute dafür, dass ich genau das getan habe.

In der Zwischenzeit könnte eine Aktualisierung der Infrastruktur zwar in einigen Fällen einen kostspieligen und arbeitsintensiven Austausch des Gabelstaplers erfordern, aber möglicherweise auch nicht schief gehen.

„Viele der angegriffenen OT-Umgebungen sind berüchtigt dafür, dass sie entweder aus Fahrlässigkeit oder aus Notwendigkeit veraltete Software ausführen, wenn die Systeme nicht aktualisiert werden können, was das von dieser Bedrohung ausgehende Risiko erhöht“, sagte Westin.

Beunruhigenderweise stellte die CISA außerdem fest, dass die Gefahr über die USA hinausgeht. Letzten Monat identifizierte das STRIKE-Team von SecurityScorecard eine neue Infrastruktur im Zusammenhang mit Volt Typhoon, die darauf hinwies, dass die APT auch auf australische und britische Regierungsanlagen abzielte. Der CISA-Bericht weitet dieses Risiko auf Kanada und Neuseeland aus – die gesamte Infrastruktur dieser US-Partner sei auch anfällig für nationalstaatliche Akteure, warnte er.

Die Beratung von CISA folgt auf a Regierungsmaßnahmen zur Störung das Small Office/Home Office (SOHO)-Router-Botnetz der Gruppe, wie es früher der Fall war Werfen Sie diejenigen ab, die seine Aktivitäten verfolgen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure