US Cybersecurity and Infrastructure Security Agency (CISA) har gitt ut en rapport som beskriver hvordan den Kina-støttede Volt Typhoon Advanced persistent-trusselen (APT) er konsekvent målrettet mot svært sensitiv kritisk infrastruktur, med ny informasjon om nettangrepernes pivot til operativ teknologi (OT) nettverk når de har gravd seg inn.
Gitt at OT-nettverket er ansvarlig for de fysiske funksjonene til industrielle kontrollsystemer (ICS) og utstyr for tilsynskontroll og datainnsamling (SCADA), bekrefter funnene klart pågående mistanke at kinesiske hackere er ute etter å kunne forstyrre kritiske fysiske operasjoner innen energi, vannforsyninger, kommunikasjon og transport, antagelig for å forårsake panikk og splid i tilfelle en kinetisk brann mellom USA og Kina.
"Volt Typhoon-aktører forhåndsposisjonerer seg på IT-nettverk for å muliggjøre sideveis bevegelse til OT-ressurser for å forstyrre funksjoner," ifølge CISAs Volt Typhoon-rådgivning. [Vi] "er bekymret for potensialet for disse aktørene til å bruke nettverkstilgangen sin for forstyrrende effekter i tilfelle potensielle geopolitiske spenninger og/eller militære konflikter."
Det er et viktig sett med avsløringer, ifølge John Hultquist, sjefanalytiker hos Mandiant Intelligence/Google Cloud.
"Tidligere kunne vi utlede fra målretting at skuespilleren hadde en sterk interesse for kritisk infrastruktur som hadde liten etterretningsverdi," sa han i en e-postanalyse. Men CISA-rapporten viser at "Volt Typhoon samler informasjon om, og til og med penetrerer, OT-systemer - de svært sensitive systemene som kjører de fysiske prosessene i hjertet av kritisk infrastruktur," la han til. «Under de rette forholdene, OT-systemer kan manipuleres å forårsake store nedleggelser av viktige tjenester, eller til og med å skape farlige forhold."
Hultquist la til, "Hvis det var noen skepsis til hvorfor denne skuespilleren utfører disse inntrengingene, bør denne avsløringen sette den til hvile."
Leve av landet og gjemme seg i 5 år
CISA avslørte også i dag at Volt Typhoon (aka Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite og Insidious Taurus) i all hemmelighet har gjemt seg i amerikansk infrastruktur i et halvt tiår - selv om de var først offentlig utgitt av Microsoft bare i fjor.
"I motsetning til løsepengevareoperatører som har som mål å komme inn og forårsake skade raskt, utnytter denne nasjonalstatsoperatøren gyldige kontoer og «leve av landet» [LOTL] teknikker for å unngå deteksjon i lange perioder, sa Ken Westin, felt CISO ved Panther Lab, i en e-postkommentar. "Disse metodene lar gruppen overvåke målene sine og gi fotfeste for å forårsake kinetisk skade."
For å starte opp, er APT "også avhengig av gyldige kontoer og utnytter sterk operasjonell sikkerhet, som ... muliggjør langsiktig uoppdaget utholdenhet," forklarte CISA. «Volt Typhoon-aktører gjennomfører omfattende rekognosering før utnyttelse for å lære om målorganisasjonen og dens miljø; skreddersy deres taktikk, teknikker og prosedyrer (TTP) til offerets miljø; og dedikerer pågående ressurser til å opprettholde utholdenhet og forstå målmiljøet over tid, selv etter innledende kompromiss.»
Mens Volt Typhoons strategi om å holde seg skjult ved å bruke legitime verktøy og blande seg inn i normal trafikk er ikke et nytt fenomen innen nettkriminalitet, det gjør det vanskelig for potensielle mål å aktivt skanne etter ondsinnet aktivitet, ifølge CISA, som ga ut omfattende LOTL-veiledning i dag for å gjøre nettopp det.
I mellomtiden kan en infrastrukturoppdatering, selv om den i noen tilfeller kan kreve en kostbar og arbeidskrevende utskifting av gaffeltruck, heller ikke gå galt.
"Mange av OT-miljøene som er målrettet er beryktet for å kjøre utdatert programvare, enten av uaktsomhet eller nødvendighet, hvis systemene ikke kan oppdateres, noe som øker risikoen som denne trusselen utgjør," sa Westin.
Bekymrende nok bemerket CISA også at faren strekker seg utover USA. Sist måned identifiserte SecurityScorecards STRIKE-team ny infrastruktur knyttet til Volt Typhoon som indikerte at APT også var rettet mot australske og britiske myndigheters eiendeler. CISA-rapporten utvider denne risikoen til også å omfatte Canada og New Zealand - alle disse amerikanske partnernes infrastruktur er også mottakelig for nasjonalstatsaktører, advarte den.
CISAs råd kommer i hælene på en regjeringens handling for å forstyrre gruppens små kontor/hjemmekontor (SOHO) ruter-botnett, som den pleide kaste av de som sporer aktiviteten.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
- : har
- :er
- :ikke
- 7
- a
- I stand
- Om oss
- adgang
- Ifølge
- kontoer
- oppkjøp
- Handling
- aktivt
- aktivitet
- aktører
- la til
- avansert
- rådgivende
- Etter
- byrå
- aka
- Alle
- tillate
- tillater
- også
- an
- analyse
- analytiker
- og
- og infrastruktur
- noen
- APT
- ER
- AS
- Eiendeler
- At
- Australian
- BE
- være
- mellom
- Beyond
- blending
- botnet
- men
- by
- Canada
- kan ikke
- bærer
- saker
- Årsak
- sjef
- Kina
- Kinesisk
- CISO
- klart
- Cloud
- kommer
- kommentere
- kommunikasjon
- kompromiss
- bekymret
- forhold
- Gjennomføre
- konflikter
- kontroll
- underbygge
- kostbar
- kunne
- skape
- kritisk
- Kritisk infrastruktur
- Cybersecurity
- skade
- FARE
- Dangerous
- dato
- tiår
- dedikerte
- detaljering
- Gjenkjenning
- vanskelig
- disharmoni
- Avbryte
- forstyrrende
- gjør
- gjør
- effekter
- enten
- muliggjøre
- energi
- Miljø
- miljøer
- utstyr
- avgjørende
- viktige tjenester
- unngå
- Selv
- Event
- forklarte
- strekker
- omfattende
- felt
- funn
- Først
- Til
- fra
- funksjoner
- samle
- geopolitiske
- få
- Go
- mål
- Regjeringen
- Gruppe
- hackere
- HAD
- Halvparten
- he
- Hjerte
- skjult
- skjule
- svært
- Hvordan
- HTTPS
- identifisert
- if
- viktig
- in
- inkludere
- øker
- indikert
- industriell
- informasjon
- Infrastruktur
- innledende
- innsiden
- Intelligens
- interesse
- Utstedt
- IT
- DET ER
- John
- jpg
- bare
- lab
- Tomt
- Siste
- I fjor
- LÆRE
- legitim
- utnytte
- knyttet
- lite
- levende
- Lang
- langsiktig
- ser
- Vedlike
- større
- gjøre
- skadelig
- mange
- metoder
- kunne
- Militær
- Overvåke
- Måned
- bevegelse
- nødvendighet
- nettverk
- nettverk
- Ny
- New Zealand
- normal
- bemerket
- notorisk
- of
- off
- Office
- on
- gang
- pågående
- bare
- operasjonell
- Drift
- operatør
- operatører
- or
- organisasjon
- ut
- utdatert
- enn
- Panic
- partnere
- perioder
- utholdenhet
- fenomen
- fysisk
- Pivot
- plato
- Platon Data Intelligence
- PlatonData
- poserte
- potensiell
- tidligere
- prosedyrer
- Prosesser
- gi
- sette
- raskt
- ransomware
- erstatning
- rapporterer
- krever
- Ressurser
- ansvarlig
- REST
- Avslørt
- åpenbaring
- ikke sant
- Risiko
- router
- Kjør
- rennende
- s
- Sa
- skanne
- sikkerhet
- sensitive
- Tjenester
- sett
- bør
- Viser
- nedstengninger
- Skepsis
- liten
- Software
- noen
- Sponset
- blir
- Strategi
- streik
- sterk
- utsatt
- Systemer
- taktikk
- skredder
- Target
- målrettet
- rettet mot
- mål
- Taurus
- lag
- teknikker
- Teknologi
- spenninger
- Det
- De
- deres
- seg
- Der.
- Disse
- de
- denne
- De
- selv om?
- trussel
- tid
- til
- i dag
- Sporing
- trafikk
- transport
- Uk
- Britisk regjering
- etter
- forståelse
- uoppdaget
- I motsetning til
- Oppdater
- oppdatert
- us
- bruke
- brukt
- ved hjelp av
- verktøy
- gyldig
- verdi
- fortropp
- Ve
- Offer
- Volt
- advarte
- var
- we
- var
- westin
- hvilken
- mens
- hvem sin
- hvorfor
- med
- år
- år
- Zealand
- zephyrnet
