Китайские кибератаки пытаются разрушить критическую инфраструктуру США

Агентство кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало отчет, в котором подробно описывается, как поддерживаемая Китаем продвинутая постоянная угроза «Вольт Тайфун» (APT) постоянное воздействие на высокочувствительную критическую инфраструктуру, с новой информацией о том, как киберзлоумышленники переходят к сетям операционных технологий (ОТ), как только они проникают внутрь.

Учитывая, что сеть OT отвечает за физические функции промышленных систем управления (ICS) и оборудования диспетчерского управления и сбора данных (SCADA), полученные данные ясно подтверждают продолжающееся подозрение что китайские хакеры стремятся нарушить критически важные физические операции в сфере энергетики, водоснабжение, связь и транспорт, предположительно для того, чтобы вызвать панику и раздор в случае кинетический пожар между США и Китаем.

«Субъекты «Вольт-Тайфуна» заранее позиционируют себя в ИТ-сетях, чтобы обеспечить возможность горизонтального перемещения к ОТ-активам и нарушения функций», — говорится в сообщении. Консультации CISA по Вольт-Тайфуну. [Мы] «обеспокоены возможностью того, что эти субъекты смогут использовать доступ к своей сети для разрушительных последствий в случае потенциальной геополитической напряженности и/или военных конфликтов».

По словам Джона Халтквиста, главного аналитика Mandiant Intelligence/Google Cloud, это важная серия разоблачений.

«Раньше на основе таргетинга мы могли сделать вывод, что у актера был сильный интерес к критической инфраструктуре это не имело особой разведывательной ценности», — сказал он в анализе, отправленном по электронной почте. Но отчет CISA показывает, что «Вольт Тайфун собирает информацию и даже проникает в OT-системы — высокочувствительные системы, которые управляют физическими процессами в центре критической инфраструктуры», — добавил он. «При правильных условиях ОТ-системами можно манипулировать вызвать серьезные отключения основных услуг или даже создать опасные условия».

Хультквист добавил: «Если и существовал какой-либо скептицизм относительно того, почему этот актер осуществляет эти вторжения, то это разоблачение должно положить ему конец».

Жизнь за счет земли и скрытие в течение 5 лет

CISA также сообщила сегодня, что Volt Typhoon (также известный как Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite и Insidious Taurus) тайно скрывался в инфраструктуре США в течение пяти лет — хотя они были первыми публично обнародовано Microsoft только в прошлом году.

«В отличие от операторов программ-вымогателей, целью которых является быстрое проникновение и причинение ущерба, этот национальный оператор использует действительные учетные записи и 'жить за счет земли' [LOTL] методы, позволяющие избежать обнаружения в течение длительного периода времени», — сказал Кен Вестин, полевой директор по информационной безопасности Panther Lab, в комментарии по электронной почте. «Эти методы позволяют группе следить за своими целями и обеспечивать плацдарм для нанесения кинетического ущерба».

Кроме того, APT «также полагается на действительные учетные записи и использует надежную операционную безопасность, которая… обеспечивает долгосрочную необнаруженную устойчивость», пояснил CISA. «Субъекты «Вольт-Тайфуна» проводят обширную предэксплуатационную разведку, чтобы узнать о целевой организации и ее окружении; адаптировать свою тактику, методы и процедуры (TTP) к среде жертвы; и выделять постоянные ресурсы для поддержания устойчивости и понимания целевой среды с течением времени, даже после первоначального компромисса».

В то время как стратегия Volt Typhoon, заключающаяся в том, чтобы оставаться скрытым, используя законные утилиты и смешиваясь с обычным трафиком, это не новое явление в киберпреступности, по мнению потенциальных целей, это затрудняет активное сканирование на предмет вредоносной активности. CISA, выпустившая обширное руководство по LOTL сегодня за то, что сделал именно это.

Между тем, обновление инфраструктуры, хотя в некоторых случаях может потребовать дорогостоящей и трудоемкой замены вилочных погрузчиков, также может не пойти наперекосяк.

«Многие из целевых ОТ-сред печально известны тем, что используют устаревшее программное обеспечение либо по халатности, либо по необходимости, если системы не могут быть обновлены, что увеличивает риск, связанный с этой угрозой», — сказал Вестин.

В CISA также отметили, что опасность выходит за пределы США. В прошлом месяце команда STRIKE компании SecurityScorecard выявила новую инфраструктуру, связанную с Volt Typhoon, что указывает на то, что APT также нацелена на правительственные активы Австралии и Великобритании. Отчет CISA расширяет этот риск, включив в него также Канаду и Новую Зеландию — вся инфраструктура этих партнеров США также уязвима для действий национальных государств, предупредил он.

Рекомендации CISA последовали за действия правительства по нарушению ботнет-маршрутизатор для малого/домашнего офиса (SOHO), который группа использовала для скинь тех, кто отслеживает его активность.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure