A kínai kibertámadók manővereznek az Egyesült Államok létfontosságú infrastruktúrájának megzavarására

Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) jelentést adott ki, amely részletezi, hogy a Kína által támogatott Volt Typhoon fejlett tartós fenyegetés (APT) következetesen megcélozzák a rendkívül érzékeny kritikus infrastruktúrát, amely új információkkal szolgál a kibertámadók működési technológiai (OT) hálózatokhoz való fordulásáról, miután befurakodtak a belsejébe.

Tekintettel arra, hogy az OT hálózat felelős az ipari vezérlőrendszerek (ICS) és a felügyeleti vezérlő és adatgyűjtő (SCADA) berendezések fizikai funkcióiért, a megállapítások egyértelműen alátámasztják a folyamatos gyanú hogy a kínai hackerek arra törekednek, hogy képesek legyenek megzavarni a kritikus fizikai műveleteket az energetikában, vízi közművek, kommunikáció és szállítás, feltehetően pánikot és viszályt keltenek abban az esetben, ha a kinetikus tűzvész az USA és Kína között.

„A Volt Typhoon szereplői előre pozicionálják magukat az informatikai hálózatokon, hogy lehetővé tegyék az OT eszközök oldalirányú mozgását, hogy megzavarják a funkciókat” A CISA Volt Typhoon tanácsadója. [Mi] „aggódunk amiatt, hogy ezek a szereplők potenciális geopolitikai feszültségek és/vagy katonai konfliktusok esetén bomlasztó hatásokra használhatják fel hálózati hozzáférésüket”.

John Hultquist, a Mandiant Intelligence/Google Cloud vezető elemzője szerint ez egy fontos kinyilatkoztatás.

„Korábban a célzásból arra következtethettünk, hogy a színésznek a erős érdeklődés a kritikus infrastruktúra iránt ennek csekély intelligenciaértéke volt” – mondta egy e-mailben elküldött elemzésében. A CISA-jelentés azonban azt mutatja, hogy "a Volt Typhoon információkat gyűjt az OT-rendszerekről, sőt behatol azokra – a rendkívül érzékeny rendszerekre, amelyek a kritikus infrastruktúra középpontjában lévő fizikai folyamatokat futtatják" - tette hozzá. „Megfelelő körülmények között Az OT rendszerek manipulálhatók az alapvető szolgáltatások jelentős leállását okozni, vagy akár veszélyes körülményeket teremteni.”

Hultquist hozzátette: "Ha van szkepticizmus azzal kapcsolatban, hogy ez a színész miért követi el ezeket a behatolásokat, akkor ennek a kinyilatkoztatásnak meg kell nyugodnia."

A földön kívüli élet és bujkálás 5 évig

A CISA ma azt is felfedte, hogy a Volt Typhoon (más néven Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite és Insidious Taurus) fél évtizede titokban rejtőzött az Egyesült Államok infrastruktúrájában – pedig ők voltak az elsők a Microsoft nyilvánosan közzétette csak tavaly.

„Eltérően a zsarolóvírus-kezelőkkel, akiknek az a célja, hogy gyorsan bejussanak és kárt okozzanak, ez a nemzetállami üzemeltető érvényes számlákat és „a földből él” [LOTL] technikák, amelyekkel hosszú ideig elkerülhető az észlelés” – mondta Ken Westin, a Panther Lab helyszíni CISO-ja egy e-mailben elküldött megjegyzésében. "Ezek a módszerek lehetővé teszik a csoport számára, hogy figyelemmel kísérjék célpontjaikat, és támpontot nyújtsanak a kinetikai károsodások okozásához."

A rendszerindításhoz az APT „érvényes számlákra is támaszkodik, és erős működési biztonságra támaszkodik, ami… lehetővé teszi a hosszú távú, felfedezetlen kitartást” – magyarázta a CISA. „A Volt Typhoon szereplői kiterjedt kizsákmányolás előtti felderítést végeznek, hogy megismerjék a célszervezetet és környezetét; taktikáikat, technikáikat és eljárásaikat (TTP) az áldozat környezetéhez igazítsák; és folyamatos erőforrásokat fordítson a kitartás fenntartására és a célkörnyezet megértésére az idő múlásával, még a kezdeti kompromisszum után is.”

Míg a Volt Typhoon stratégiája, miszerint rejtve marad, legitim segédprogramok használatával, és beleolvad a normál forgalomba nem új jelenség a kiberbűnözésben, ez megnehezíti a potenciális célpontok számára a rosszindulatú tevékenységek aktív keresését A CISA, amely kiterjedt LOTL-útmutatót adott ki ma éppen ezért.

Eközben az infrastruktúra-frissítés, bár bizonyos esetekben költséges és munkaigényes targoncacserét igényelhet, nem biztos, hogy balul sül el.

"A megcélzott OT-környezetek többsége arról híres, hogy elavult szoftvereket futtatnak, akár hanyagságból, akár szükségszerűségből, ha a rendszereket nem lehet frissíteni, ami növeli a fenyegetés kockázatát" - mondta Westin.

Aggodalomra ad okot, hogy a CISA azt is megjegyezte, hogy a veszély az Egyesült Államokon kívülre is kiterjed. A múlt hónapban a SecurityScorecard STRIKE csapata új infrastruktúrát azonosított, amely a Volt Typhoonhoz kapcsolódik, és jelezte, hogy az APT az ausztrál és az Egyesült Királyság kormányzati eszközeit is megcélozta. A CISA-jelentés kiterjeszti ezt a kockázatot Kanadára és Új-Zélandra is – ezeknek az amerikai partnereknek az összes infrastruktúrája érzékeny a nemzetállami szereplőkre is – figyelmeztetett.

A CISA tanácsa az a kormányzati intézkedés megzavarására a csoport kis irodai/otthoni irodai (SOHO) router botnetje, amit korábban is használt dobja ki a tevékenységét nyomon követőket.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure