Агентство кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало отчет, в котором подробно описывается, как поддерживаемая Китаем продвинутая постоянная угроза «Вольт Тайфун» (APT) постоянное воздействие на высокочувствительную критическую инфраструктуру, с новой информацией о том, как киберзлоумышленники переходят к сетям операционных технологий (ОТ), как только они проникают внутрь.
Учитывая, что сеть OT отвечает за физические функции промышленных систем управления (ICS) и оборудования диспетчерского управления и сбора данных (SCADA), полученные данные ясно подтверждают продолжающееся подозрение что китайские хакеры стремятся нарушить критически важные физические операции в сфере энергетики, водоснабжение, связь и транспорт, предположительно для того, чтобы вызвать панику и раздор в случае кинетический пожар между США и Китаем.
«Субъекты «Вольт-Тайфуна» заранее позиционируют себя в ИТ-сетях, чтобы обеспечить возможность горизонтального перемещения к ОТ-активам и нарушения функций», — говорится в сообщении. Консультации CISA по Вольт-Тайфуну. [Мы] «обеспокоены возможностью того, что эти субъекты смогут использовать доступ к своей сети для разрушительных последствий в случае потенциальной геополитической напряженности и/или военных конфликтов».
По словам Джона Халтквиста, главного аналитика Mandiant Intelligence/Google Cloud, это важная серия разоблачений.
«Раньше на основе таргетинга мы могли сделать вывод, что у актера был сильный интерес к критической инфраструктуре это не имело особой разведывательной ценности», — сказал он в анализе, отправленном по электронной почте. Но отчет CISA показывает, что «Вольт Тайфун собирает информацию и даже проникает в OT-системы — высокочувствительные системы, которые управляют физическими процессами в центре критической инфраструктуры», — добавил он. «При правильных условиях ОТ-системами можно манипулировать вызвать серьезные отключения основных услуг или даже создать опасные условия».
Хультквист добавил: «Если и существовал какой-либо скептицизм относительно того, почему этот актер осуществляет эти вторжения, то это разоблачение должно положить ему конец».
Жизнь за счет земли и скрытие в течение 5 лет
CISA также сообщила сегодня, что Volt Typhoon (также известный как Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite и Insidious Taurus) тайно скрывался в инфраструктуре США в течение пяти лет — хотя они были первыми публично обнародовано Microsoft только в прошлом году.
«В отличие от операторов программ-вымогателей, целью которых является быстрое проникновение и причинение ущерба, этот национальный оператор использует действительные учетные записи и 'жить за счет земли' [LOTL] методы, позволяющие избежать обнаружения в течение длительного периода времени», — сказал Кен Вестин, полевой директор по информационной безопасности Panther Lab, в комментарии по электронной почте. «Эти методы позволяют группе следить за своими целями и обеспечивать плацдарм для нанесения кинетического ущерба».
Кроме того, APT «также полагается на действительные учетные записи и использует надежную операционную безопасность, которая… обеспечивает долгосрочную необнаруженную устойчивость», пояснил CISA. «Субъекты «Вольт-Тайфуна» проводят обширную предэксплуатационную разведку, чтобы узнать о целевой организации и ее окружении; адаптировать свою тактику, методы и процедуры (TTP) к среде жертвы; и выделять постоянные ресурсы для поддержания устойчивости и понимания целевой среды с течением времени, даже после первоначального компромисса».
В то время как стратегия Volt Typhoon, заключающаяся в том, чтобы оставаться скрытым, используя законные утилиты и смешиваясь с обычным трафиком, это не новое явление в киберпреступности, по мнению потенциальных целей, это затрудняет активное сканирование на предмет вредоносной активности. CISA, выпустившая обширное руководство по LOTL сегодня за то, что сделал именно это.
Между тем, обновление инфраструктуры, хотя в некоторых случаях может потребовать дорогостоящей и трудоемкой замены вилочных погрузчиков, также может не пойти наперекосяк.
«Многие из целевых ОТ-сред печально известны тем, что используют устаревшее программное обеспечение либо по халатности, либо по необходимости, если системы не могут быть обновлены, что увеличивает риск, связанный с этой угрозой», — сказал Вестин.
В CISA также отметили, что опасность выходит за пределы США. В прошлом месяце команда STRIKE компании SecurityScorecard выявила новую инфраструктуру, связанную с Volt Typhoon, что указывает на то, что APT также нацелена на правительственные активы Австралии и Великобритании. Отчет CISA расширяет этот риск, включив в него также Канаду и Новую Зеландию — вся инфраструктура этих партнеров США также уязвима для действий национальных государств, предупредил он.
Рекомендации CISA последовали за действия правительства по нарушению ботнет-маршрутизатор для малого/домашнего офиса (SOHO), который группа использовала для скинь тех, кто отслеживает его активность.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
- :имеет
- :является
- :нет
- 7
- a
- в состоянии
- О нас
- доступ
- По
- Учетные записи
- приобретение
- Действие
- активно
- деятельность
- актеры
- добавленный
- продвинутый
- консультативный
- После
- агентство
- ака
- Все
- позволять
- позволяет
- причислены
- an
- анализ
- аналитик
- и
- и инфраструктура
- любой
- APT
- МЫ
- AS
- Активы
- At
- австралийский
- BE
- не являетесь
- между
- Beyond
- смешивание
- Ботнет
- но
- by
- Канада
- не могу
- проведение
- случаев
- Вызывать
- главный
- Китай
- китайский
- CISO
- явно
- облако
- выходит
- комментарий
- Связь
- скомпрометированы
- обеспокоенный
- Условия
- Проводить
- конфликты
- контроль
- подкреплять
- дорогостоящий
- может
- Создайте
- критической
- Критическая инфраструктура
- Информационная безопасность
- повреждение
- ОПАСНО!
- опасно
- данным
- десятилетие
- убежденный
- Детализация
- обнаружение
- трудный
- раздор
- срывать
- подрывной
- приносит
- дело
- эффекты
- или
- включить
- энергетика
- Окружающая среда
- средах
- Оборудование
- существенный
- основные услуги
- Evade
- Даже
- События
- объяснены
- продолжается
- обширный
- поле
- результаты
- Во-первых,
- Что касается
- от
- Функции
- сбор
- геополитический
- получить
- Go
- цель
- Правительство
- группы
- Хакеры
- было
- Половина
- he
- Сердце
- Скрытый
- прячется
- очень
- Как
- HTTPS
- идентифицированный
- if
- важную
- in
- включают
- Увеличивает
- указанный
- промышленность
- информация
- Инфраструктура
- начальный
- внутри
- Интеллекта
- интерес
- Выпущен
- IT
- ЕГО
- John
- JPG
- всего
- лаборатория
- Земля
- Фамилия
- В прошлом году
- УЧИТЬСЯ
- законный
- Используя
- связанный
- мало
- жизнью
- Длинное
- долгосрочный
- искать
- Сохранение
- основной
- сделать
- злонамеренный
- многих
- методы
- может быть
- военный
- монитор
- Месяц
- движение
- необходимость
- сеть
- сетей
- Новые
- Новая Зеландия
- "обычные"
- отметил,
- печально известный
- of
- от
- Офис
- on
- консолидировать
- постоянный
- только
- оперативный
- Операционный отдел
- оператор
- Операторы
- or
- организация
- внешний
- устаревший
- за
- Паника
- партнеры
- периодов
- настойчивость
- явление
- физический
- Стержень
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- поставленный
- потенциал
- предварительно
- Процедуры
- Процессы
- обеспечивать
- положил
- быстро
- вымогателей
- замена
- отчету
- требовать
- Полезные ресурсы
- ответственный
- ОТДЫХ
- Показали
- откровение
- правую
- Снижение
- маршрутизатор
- Run
- Бег
- s
- Сказал
- сканирование
- безопасность
- чувствительный
- Услуги
- набор
- должен
- Шоу
- остановов
- Скептицизм
- небольшой
- Software
- некоторые
- Спонсоров
- пребывание
- Стратегия
- удар
- сильный
- восприимчивый
- системы
- тактика
- портной
- цель
- целевое
- направлены
- направлена против
- Taurus
- команда
- снижения вреда
- Технологии
- напряженность
- который
- Ассоциация
- их
- сами
- Там.
- Эти
- они
- этой
- те
- хоть?
- угроза
- время
- в
- сегодня
- Отслеживание
- трафик
- трансфер
- Uk
- Правительство Великобритании
- под
- понимание
- нераскрытый
- В отличие от
- Обновление ПО
- обновление
- us
- использование
- используемый
- через
- коммунальные услуги
- действительный
- ценностное
- Авангард
- Ve
- Жертва
- Вольт
- предупреждал
- законопроект
- we
- были
- Вестин
- , которые
- в то время как
- чья
- зачем
- год
- лет
- Зеландию
- зефирнет