O governo dos EUA disse na quarta-feira que o grupo de hackers patrocinado pelo Estado chinês divulgado porquê Tufão Volt foram incorporados em algumas redes de infra-estruturas críticas no país durante pelo menos cinco anos.
Os alvos do ator cominador incluem os setores de comunicações, vontade, transporte e sistemas de chuva e águas residuais nos EUA e em Guam.
“A escolha de alvos e padrão de comportamento do Volt Typhoon não é consistente com as operações tradicionais de espionagem cibernética ou de coleta de informações, e as agências de autoria dos EUA avaliam com subida crédito que os atores do Volt Typhoon estão se pré-posicionando em redes de TI para permitir o movimento lateral para ativos de TO para interromper funções”, disse o governo dos EUA.
O transmitido conjunto, divulgado pela Dependência de Segurança Cibernética e de Infraestrutura (CISA), pela Dependência de Segurança Pátrio (NSA) e pelo Federalista Bureau of Investigation (FBI), também foi bem por outras nações que fazem segmento dos Cinco Olhos (FVEY). ) confederação de perceptibilidade composta por Austrália, Canadá, Novidade Zelândia, Reino Unificado
Volt Typhoon – que também é chamado de Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda ou Voltzite – um grupo furtivo de espionagem cibernética fundamentado na China que se acredita estar ativo desde junho de 2021.
Isso veio à tona pela primeira vez em maio de 2023, quando a Microsoft revelou que a equipe de hackers conseguiu estabelecer uma posição persistente em organizações de infraestrutura sátira nos EUA e em Guam por longos períodos de tempo sem ser detectada, aproveitando principalmente a vida fora da terreno (LotL ) técnicas.
“Levante tipo de negócio, divulgado porquê ‘viver fora da terreno’, permite que os atacantes operem discretamente, com atividades maliciosas misturadas com sistemas legítimos e comportamento de rede, tornando difícil a diferenciação – mesmo por organizações com posturas de segurança mais maduras”, disse o Reino Unificado. Núcleo Pátrio de Segurança Cibernética (NCSC), disse.
Outra tática marcante adotada pelo Volt Typhoon é o uso de proxies multi-hop porquê o KV-botnet para rotear o tráfico malicioso através de uma rede de roteadores e firewalls comprometidos nos EUA para mascarar suas verdadeiras origens.
A empresa de segurança cibernética CrowdStrike, num relatório publicado em junho de 2023, destacou a sua obediência de um extenso arsenal de ferramentas de código destapado contra um conjunto restrito de vítimas para atingir os seus objetivos estratégicos.
“Os atores do Volt Typhoon conduzem um extenso reconhecimento pré-exploração para aprender sobre a organização fim e seu envolvente; harmonizar suas táticas, técnicas e procedimentos (TTPs) ao envolvente da vítima; e destinar recursos contínuos para manter a persistência e compreender o envolvente fim ao longo do tempo , mesmo depois o compromisso inicial”, observaram as agências.
“O grupo também depende de contas válidas e aproveita uma potente segurança operacional, que combinada permite uma persistência não invenção a longo prazo.”
Outrossim, foi observado que o Estado-nação tenta obter credenciais de gestor dentro da rede, explorando falhas de escalonamento de privilégios, aproveitando subsequentemente o chegada saliente para facilitar o movimento lateral, o reconhecimento e o comprometimento totalidade do domínio.
O objetivo final da campanha é reter o chegada aos ambientes comprometidos, redirecionando-os “metodicamente” ao longo dos anos para validar e expandir seus acessos não autorizados. Esta abordagem meticulosa, segundo as agências, é evidenciada nos casos em que exfiltraram repetidamente credenciais de domínio para prometer o chegada a contas correntes e válidas.
“Além de aproveitar credenciais de contas roubadas, os atores usam técnicas LOTL e evitam deixar artefatos de malware em sistemas que causariam alertas”, disseram CISA, FBI e NSA.
“Seu potente foco na segurança operacional e furtiva permite que eles mantenham uma persistência desconhecida e de longo prazo. Outrossim, a segurança operacional do Volt Typhoon é aprimorada pela exclusão direcionada de registros para ocultar suas ações no envolvente comprometido.”
O desenvolvimento ocorre no momento em que o Citizen Lab revela uma rede de pelo menos 123 sites que se fazem passar por meios de informação locais, abrangendo 30 países da Europa, Ásia e América Latina, que estão promovendo teor pró-China em uma campanha de influência generalizada ligada a uma empresa de relações públicas de Pequim chamada Shenzhen. Haimaiyunxiang Media Co., Ltd.
O órgão de vigilância do dedo com sede em Toronto, que batizou a operação de influência de PAPERWALL, disse que compartilha semelhanças com a HaiEnergy, embora com operadoras diferentes e TTPs exclusivos.
“Uma propriedade medial do PAPERWALL, observada em toda a rede de sites, é a natureza efémera dos seus componentes mais agressivos, através dos quais os artigos que atacam os críticos de Pequim são rotineiramente removidos desses sites qualquer tempo depois de serem publicados”, afirmou o Citizen Lab.
Num transmitido partilhado com a Reuters, um porta-voz da embaixada da China em Washington disse que “é um preconceito típico e um duplo padrão alegar que os conteúdos e relatórios pró-China são 'desinformação' e invocar os anti-China de informações verdadeiras”. .'”
