Manobra dos ciberataques da China para perturbar a infraestrutura crítica dos EUA

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu um relatório detalhando como a ameaça persistente avançada (APT) Volt Typhoon, apoiada pela China, é visando consistentemente infraestrutura crítica altamente sensível, com novas informações sobre o pivô dos ciberataques para as redes de tecnologia operacional (TO), uma vez que eles se infiltraram.

Dado que a rede OT é responsável pelas funções físicas dos sistemas de controle industrial (ICS) e dos equipamentos de controle de supervisão e aquisição de dados (SCADA), os resultados corroboram claramente a suspeita contínua que os hackers chineses estão tentando interromper operações físicas críticas em energia, utilidades da água, comunicações e transporte, presumivelmente para causar pânico e discórdia no caso de uma conflagração cinética entre os EUA e a China.

“Os atores do Volt Typhoon estão se pré-posicionando nas redes de TI para permitir o movimento lateral para ativos de TO para interromper funções”, de acordo com Alerta Volt Typhoon da CISA. [Nós] “estamos preocupados com o potencial destes intervenientes utilizarem o seu acesso à rede para efeitos perturbadores no caso de potenciais tensões geopolíticas e/ou conflitos militares”.

É um conjunto importante de revelações, de acordo com John Hultquist, analista-chefe da Mandiant Intelligence/Google Cloud.

“Anteriormente, podíamos deduzir da segmentação que o ator tinha um forte interesse em infraestrutura crítica isso tinha pouco valor de inteligência”, disse ele em uma análise enviada por e-mail. Mas o relatório da CISA mostra que “o Volt Typhoon está a recolher informações e até a penetrar em sistemas OT – os sistemas altamente sensíveis que executam os processos físicos no centro da infraestrutura crítica”, acrescentou. “Sob as condições certas, Os sistemas TO podem ser manipulados causar grandes paralisações de serviços essenciais, ou mesmo criar condições perigosas.”

Hultquist acrescentou: “Se houvesse algum ceticismo quanto ao motivo pelo qual este ator está realizando essas intrusões, esta revelação deveria acabar com isso”.

Vivendo da terra e se escondendo por 5 anos

A CISA também revelou hoje que o Volt Typhoon (também conhecido como Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus) se escondeu secretamente na infraestrutura dos EUA por meia década – embora tenham sido os primeiros divulgado publicamente pela Microsoft apenas no ano passado.

“Ao contrário dos operadores de ransomware cujo objetivo é entrar e causar danos rapidamente, este operador estatal está aproveitando contas válidas e 'viver da terra' [LOTL] técnicas para evitar a detecção por longos períodos de tempo”, disse Ken Westin, CISO de campo do Panther Lab, em um comentário por e-mail. “Esses métodos permitem que o grupo monitore seus alvos e forneça uma base para causar danos cinéticos.”

Para começar, o APT “também depende de contas válidas e alavanca uma forte segurança operacional, o que… permite uma persistência não descoberta a longo prazo”, explicou a CISA. “Os atores do Volt Typhoon conduzem um extenso reconhecimento pré-exploração para aprender sobre a organização alvo e seu ambiente; adaptar suas táticas, técnicas e procedimentos (TTPs) ao ambiente da vítima; e dedicar recursos contínuos para manter a persistência e compreender o ambiente alvo ao longo do tempo, mesmo após o comprometimento inicial.”

Embora a estratégia do Volt Typhoon de permanecer oculto usando utilitários legítimos e se misturando ao tráfego normal não é um fenômeno novo no crime cibernético, torna difícil para alvos potenciais verificar ativamente atividades maliciosas, de acordo com CISA, que emitiu extensa orientação LOTL hoje por fazer exatamente isso.

Enquanto isso, uma atualização de infraestrutura, embora possa, em alguns casos, exigir uma substituição cara e trabalhosa da empilhadeira, também pode não dar errado.

“Muitos dos ambientes de TO visados ​​são notórios por executar software desatualizado, seja por negligência ou necessidade, se os sistemas não puderem ser atualizados, o que aumenta o risco representado por esta ameaça”, disse Westin.

De forma preocupante, a CISA também observou que o perigo se estende para além dos EUA. No mês passado, a equipe STRIKE da SecurityScorecard identificou uma nova infraestrutura ligada ao Volt Typhoon que indicava que o APT também tinha como alvo ativos do governo australiano e do Reino Unido. O relatório da CISA alarga esse risco para incluir também o Canadá e a Nova Zelândia – todas as infraestruturas destes parceiros dos EUA também são suscetíveis aos intervenientes do Estado-nação, alertou.

A consultoria da CISA surge na sequência de uma ação do governo para interromper botnet roteador de pequeno escritório/escritório doméstico (SOHO) do grupo, que costumava despiste aqueles que rastreiam sua atividade.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure