Volt Typhoon: хакеры, поддерживаемые Китаем, которые атакуют критическую инфраструктуру в США и Азии

Volt Typhoon - это хакерская группировка, которая, по мнению западных разведывательных агентств и компаний по кибербезопасности, поддерживается китайским правительством и занимается кибершпионажем против различных организаций в США и других странах. Группа получила свое название от компании Microsoft, которая обнаружила ее активность в мае 2023 года. Однако Volt Typhoon действует не менее двух лет и специализируется на проникновении в критическую инфраструктуру, такую как телекоммуникации, транспортные узлы и энергетические объекты .

Как они взламывают свои цели?

Volt Typhoon использует различные методы для получения доступа к своим жертвам. Один из них - это фишинг, то есть отправка поддельных электронных писем с зараженными вложениями или ссылками, которые могут установить вредоносное программное обеспечение на компьютеры пользователей. Другой метод - это эксплуатация уязвимостей в программном обеспечении или оборудовании, которые позволяют хакерам удаленно выполнить произвольный код на целевых системах. Например, Volt Typhoon использовала уязвимость в программном обеспечении Pulse Connect Secure VPN для проникновения в сети нескольких американских организаций.

После того, как хакеры получают доступ к сети жертвы, они начинают исследовать ее и перемещаться по ней, используя различные инструменты и тактики. Они также стараются скрыть свои следы, удаляя журналы событий или используя легитимные учетные записи и сертификаты. Целью Volt Typhoon является сбор информации о своих жертвах, такой как документы, электронная почта, пароли и другие данные. Однако Microsoft предупредила, что группа также разрабатывает возможности для нарушения критической коммуникационной инфраструктуры между США и Азией в случае будущих кризисов.

Кто стоит за Volt Typhoon?

Microsoft и другие компании по кибербезопасности утверждают, что Volt Typhoon является государственно-поддерживаемой группировкой, которая имеет связь с Китаем . Они основывают свое заключение на анализе инструментов, тактик и целей хакеров, а также на совпадении времени атак с рабочим графиком в Китае. Кроме того, некоторые из вредоносных программ, используемых Volt Typhoon, содержат китайские символы или комментарии. Однако китайские власти отрицают любую форму государственного спонсирования хакеров и говорят, что Китай сам является частой целью кибератак.

Volt Typhoon не является единственной китайской хакерской группировкой, которая обвиняется в кибершпионаже против США и других стран. Среди других известных групп можно назвать APT 41, BackdoorDiplomacy и APT 15, которые также занимаются сбором разведывательной информации, а иногда и финансовыми мошенничествами или саботажем. Западные разведывательные агентства и эксперты по кибербезопасности считают, что многие из этих групп работают под эгидой китайской армии или разведки.

Какова угроза от Volt Typhoon?

Volt Typhoon представляет серьезную угрозу для национальной безопасности и интересов США и их союзников. Группа способна проникать в сети организаций, которые хранят важные данные, связанные с военными или правительственными делами США. Например, Volt Typhoon атаковала тихоокеанский остров Гуам, где расположена стратегически важная военная база США. Также группа может пытаться подорвать доверие к американским компаниям и продуктам, используя украденную информацию для дискредитации или шантажа.

Более того, Volt Typhoon может представлять потенциальную угрозу для физической инфраструктуры США и Азии, если она решит перейти от шпионажа к саботажу. Microsoft и Cisco Systems предупредили, что группа развивает возможности для нарушения критической коммуникационной инфраструктуры, которая может быть необходима для координации военных или гуманитарных операций в случае конфликта между Китаем и США по поводу Тайваня или других спорных территорий. Такие атаки могут иметь серьезные последствия для жизни и безопасности миллионов людей.

Как защититься от Volt Typhoon?

Для защиты от Volt Typhoon и других хакерских групп необходимо принимать меры по повышению уровня кибербезопасности своих систем и сетей. Некоторые из этих мер включают:

• Обновление программного обеспечения и оборудования до последних версий, чтобы исправить известные уязвимости.
• Использование сильных паролей и двухфакторной аутентификации для доступа к своим учетным записям и данным.
• Обучение персонала основам кибергигиены, таким как не открывать подозрительные письма или ссылки.
• Резервное копирование своих данных на внешние носители или облачные сервисы, чтобы иметь возможность восстановить их в случае потери или повреждения.
• Мониторинг своих сетей на предмет подозрительной активности или аномалий, используя специализированные инструменты или сервисы.