תמרון תוקפי הסייבר של סין כדי לשבש תשתית קריטית בארה"ב

הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) פרסמה דו"ח המפרט כיצד האיום המתקדם Volt Typhoon (APT) נתמך על ידי סין מכוון באופן עקבי לתשתית קריטית רגישה ביותר, עם מידע חדש על הציר של תוקפי הסייבר לרשתות טכנולוגיות מבצעיות (OT) ברגע שהם התחפרו בפנים.

בהתחשב בכך שרשת ה-OT אחראית על הפונקציות הפיזיות של מערכות בקרה תעשייתיות (ICS) וציוד בקרה ורכישת נתונים (SCADA), הממצאים מאששים בבירור את חשד מתמשך שהאקרים סינים מחפשים להיות מסוגלים לשבש פעולות פיזיות קריטיות באנרגיה, שירותי מים, תקשורת ותחבורה, ככל הנראה כדי לגרום לפאניקה ומחלוקת במקרה של א התלקחות קינטית בין ארה"ב לסין.

"שחקני וולט טייפון ממקמים את עצמם מראש ברשתות IT כדי לאפשר תנועה לרוחב לנכסי OT כדי לשבש פונקציות", לפי ייעוץ וולט טייפון של CISA. [אנו] "מודאגים מהפוטנציאל של שחקנים אלה להשתמש בגישה לרשת שלהם להשפעות משבשות במקרה של מתחים גיאופוליטיים פוטנציאליים ו/או סכסוכים צבאיים."

מדובר בקבוצה חשובה של גילויים, לפי ג'ון הולטקוויסט, אנליסט ראשי ב-Mandiant Intelligence/Google Cloud.

"בעבר, יכולנו להסיק ממיקוד שלשחקן היה א עניין רב בתשתיות קריטיות שהיה לו ערך אינטליגנציה מועט", אמר בניתוח שנשלח בדוא"ל. אבל הדו"ח של CISA מראה ש"Volt Typhoon אוסף מידע על, ואפילו חודר, למערכות OT - המערכות הרגישות ביותר שמריצות את התהליכים הפיזיים בלב התשתית הקריטית", הוסיף. "בתנאים הנכונים, ניתן לתמרן מערכות OT לגרום להשבתות גדולות של שירותים חיוניים, או אפילו ליצור תנאים מסוכנים".

הולטקוויסט הוסיף, "אם הייתה ספקנות באשר למה השחקן הזה מבצע את החדירה הזו, הגילוי הזה צריך להפסיק את זה".

לחיות מהאדמה ולהסתתר במשך 5 שנים

CISA גם חשפה היום כי וולט טייפון (הידוע גם בשם Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite ו- Insidious Taurus) התחבאו בסתר בתשתית ארה"ב במשך חצי עשור - למרות שהם היו הראשונים הוצא בפומבי על ידי מיקרוסופט רק בשנה שעברה.

"בניגוד למפעילי תוכנות כופר שמטרתם להיכנס ולגרום נזק במהירות, המפעיל הזה במדינת לאום ממנף חשבונות תקפים ו 'לחיות מהאדמה' [LOTL] טכניקות להתחמק מגילוי לפרקי זמן ארוכים", אמר קן ווסטין, CISO בשטח במעבדת פנתר, בתגובה שנשלחה בדוא"ל. "שיטות אלו מאפשרות לקבוצה לנטר את המטרות שלה ולספק דריסת רגל לגרום לנזק קינטי".

כדי לאתחל, ה-APT "מסתמך גם על חשבונות תקפים וממנף אבטחה תפעולית חזקה, אשר... מאפשרת התמדה בלתי נתגלתה לטווח ארוך", הסביר CISA. "שחקני וולט טייפון עורכים סיור מקיף לפני ניצול כדי ללמוד על ארגון היעד וסביבתו; להתאים את הטקטיקות, הטכניקות והנהלים שלהם (TTPs) לסביבתו של הקורבן; ולהקדיש משאבים שוטפים לשמירה על התמדה והבנת סביבת היעד לאורך זמן, גם לאחר פשרה ראשונית".

בעוד האסטרטגיה של וולט טייפון להישאר מוסתרת על ידי שימוש בכלי עזר לגיטימיים ולהתמזג עם תעבורה רגילה זו לא תופעה חדשה בפשעי סייבר, זה כן מקשה על יעדים פוטנציאליים לסרוק באופן אקטיבי אחר פעילות זדונית, לפי CISA, שהוציאה הנחיות נרחבות של LOTL היום על שעשה בדיוק את זה.

בינתיים, עדכון תשתית, למרות שבמקרים מסוימים עשוי לדרוש החלפת מלגזה יקר ועתיר עבודה, גם הוא עשוי לא להשתבש.

"רבות מסביבות ה-OT הממוקדות ידועות לשמצה בהפעלת תוכנה מיושנת, בין אם מתוך רשלנות או צורך, אם לא ניתן לעדכן את המערכות, מה שמגביר את הסיכון הנשקף מהאיום הזה", אמר וסטין.

באופן מדאיג, CISA גם ציינה שהסכנה משתרעת מעבר לארה"ב. בחודש שעבר, צוות STRIKE של SecurityScorecard זיהה תשתית חדשה המקושרת ל-Volt Typhoon שהצביעה על כך שה-APT מכוון גם לנכסי ממשלת אוסטרליה ובריטניה. דו"ח CISA מרחיב את הסיכון הזה לכלול גם את קנדה וניו זילנד - כל התשתיות של השותפים האמריקאים הללו רגישים גם לשחקנים במדינות לאום, הוא הזהיר.

הייעוץ של CISA מגיע בעקבות א פעולה ממשלתית לשיבוש בוטנט הנתב של הקבוצה הקטן למשרד/משרד ביתי (SOHO), שהיה בעבר לזרוק את אלה שעוקבים אחר פעילותו.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure