L'APT Volt Typhoon cinese scava più a fondo nelle infrastrutture critiche degli Stati Uniti

L’esercito americano ha dovuto fare i conti con due importanti preoccupazioni informatiche durante il fine settimana: una la campagna cinese diffusa e ancora irrisolta nota come Volt Typhoon contro le basi militari, e l’altra una violazione interna che ha colpito le comunicazioni dell’aeronautica e dell’FBI.

I funzionari dell'amministrazione Biden hanno confermato che il malware Volt Typhoon è molto più endemico di quanto si pensasse in precedenza; i soccorritori lo hanno trovato impiantato all'interno di numerose reti che controllano le comunicazioni, l'elettricità e l'acqua che alimentano le basi militari statunitensi in patria e all'estero, secondo il New York Times.

Inoltre, quelle stesse reti toccano anche aziende e privati ​​comuni e gli investigatori hanno difficoltà a valutare l’intera impronta dell’infestazione.

Intanto un mandato di perquisizione ottenuto da Forbes ha rivelato che il Pentagono ha a che fare con un’intrusione informatica completamente separata – in questo caso, una compromissione delle comunicazioni che colpisce 17 strutture dell’aeronautica militare, e forse anche l’FBI, per gentile concessione di un ingegnere dell’aeronautica.

Il malware cinese è una "bomba a orologeria" all'interno delle reti critiche degli Stati Uniti

La minaccia avanzata persistente (APT) allineata allo stato cinese dietro Volt Typhoon, alias "Vanguard Panda", attirò l'attenzione dopo Microsoft ha osservato l'attività informatica cinese a Guam, sede di una base militare statunitense strategicamente significativa per la difesa di Taiwan dall'aggressione cinese. Microsoft ha ipotizzato al momento “che questa campagna Volt Typhoon sta perseguendo lo sviluppo di capacità che potrebbero interrompere le infrastrutture di comunicazione critiche tra gli Stati Uniti e la regione asiatica durante crisi future”.

Quel caso, reso noto a maggio, si è rivelato giusto una piccola parte di una campagna molto più ampia, e l'obiettivo di attuare la distruzione sembra ora sempre più probabile come motivazione; Fonti hanno riferito al Times che gli aggressori sono nella posizione di ostacolare la risposta militare e le catene di approvvigionamento di materiale nel caso in cui dovesse scoppiare un conflitto cinetico.

“Più di una dozzina di funzionari statunitensi ed esperti del settore hanno affermato nelle interviste degli ultimi due mesi che l’impegno cinese va ben oltre i sistemi di telecomunicazioni e precede il rapporto di maggio di almeno un anno”, ha riferito il New York Times il 29 luglio, con un membro del Congresso. etichettando concisamente la campagna “una bomba a orologeria”.

Inoltre, il Times ha riferito che “c’è un dibattito all’interno dell’amministrazione sul fatto se l’obiettivo dell’operazione sia principalmente mirato a distruggere l’esercito, o più in generale la vita civile in caso di conflitto”.

Austin Berglas, ex agente speciale della Divisione Cyber ​​dell'FBI, ora capo globale dei servizi professionali presso BlueVoyant, non è sorpreso dal fatto che la Cina sia sepolta all'interno delle reti più critiche degli Stati Uniti.

“Sappiamo che la Cina sta cercando di sfruttare ogni settore possibile per ottenere un vantaggio politico, sociale o economico. Quindi non è sorprendente”, dice. “Ciò che sorprende è la menzione di malware distruttivo. Normalmente questo non si vede nel loro tipico kit di strumenti. "

"Se si considerano le tattiche, le tecniche e le procedure tradizionali (TTP) utilizzate dagli attori statali cinesi, si scopre che stanno facendo spionaggio", spiega. Il malware progettato per interrompere o distruggere sistemi critici cambia la storia. “Li sta posizionando per uno sciopero di ritorsione? È qualcosa che inizieremo a vedere di più in futuro da questi ragazzi?

Un attacco interno prende il volo contro l'aeronautica militare

Sempre il 29 luglio, Forbes ha rivelato che il Pentagono ha ordinato un raid contro un ingegnere di 48 anni della base dell'aeronautica militare Arnold a Tullahoma, nel Tennessee.

Secondo il relativo mandato di perquisizione, l'ingegnere aveva portato a casa apparecchiature radio per un valore di 90,000 dollari, ottenendo l'accesso non autorizzato alle tecnologie di comunicazione radio impiegate dall'Air Education and Training Command (AETC), un'ala dell'aeronautica responsabile del reclutamento e dell'addestramento.

Nel raid, gli investigatori hanno trovato un computer aperto che eseguiva un software di programmazione radiofonica Motorola "che conteneva l'intero sistema di comunicazione dell'Arnold Air Force Base (AAFB)", affermava il mandato, oltre a prove di accesso a comunicazioni privilegiate da parte dell'FBI e di altre agenzie statali del Tennessee. .

Berglas dice che l'impatto sulle altre agenzie non è sorprendente. Lo paragona al periodo trascorso nell'FBI. “Se fossi seduto alla scrivania al lavoro, non potrei inserire un'unità USB nel computer. Non potevo inserire un disco per farne una copia, né togliere quel supporto dalla rete in nessun altro modo, a parte stamparlo”, spiega.

“Il problema è che, come ufficio dell’FBI, fai molto affidamento su partner statali e locali. Quindi è necessario fornire loro un accesso riservato a determinati livelli di informazioni, a seconda dell'indagine. Ma quando le informazioni arrivano a quell'ufficio, le task force e gli appaltatori probabilmente non dispongono dello stesso livello di protezione informatica", spiega.

È una lezione per qualsiasi organizzazione: anche quelle che praticano rigorose norme Zero Trust come l’FBI e l’Aeronautica Militare devono ancora affrontare le stesse minacce interne e gli stessi rischi della catena di fornitura di qualsiasi altra organizzazione.

“Quando si cerca di proteggere informazioni riservate”, conclude, “è necessario consentire ai singoli partner e alle agenzie di conformarsi. Si tratta di fornire risorse all’anello più debole della catena e aiutarlo a essere più sicuro”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/china-s-volt-typhoon-apt-burrows-us-critical-infrastructure