Китайские хакеры 5 лет контролировали критическую инфраструктуру США

Согласно совместному предупреждению , опубликованному 7 февраля Агентством кибербезопасности и инфраструктуры США (CISA), Агентством национальной безопасности (NSA) и Федеральным бюро расследований (ФБР), китайская хакерская группа Volt Typhoon, также известная как Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda или Voltzite, была внедрена в некоторые сети критической инфраструктуры страны не менее пяти лет.

Целями злоумышленников стали секторы связи, энергетики, транспорта, систем водоснабжения и канализации в США и на острове Гуам. Деятельность хакеров не соответствовала традиционным целям киберразведки и сбора данных. С большой долей уверенности можно утверждать, что Volt Typhoon готовила почву для возможных диверсий.

Одна из отличительных тактик Volt Typhoon — использование прокси-серверов для сокрытия своего истинного местонахождения. Хакеры компрометируют маршрутизаторы и брандмауэры в США и направляют через них вредоносный трафик.

Главная цель группы — закрепиться во взломанных сетях на долгий срок. За несколько лет они методично расширяют свои позиции, периодически похищая учётные данные для доступа к актуальным аккаунтам. Помимо этого, хакеры активно используют уязвимости для повышения привилегий и получения полного контроля над доменами.

Согласно прошлогоднему отчёту CrowdStrike, хакеры Volt Typhoon проводят обширную предварительную разведку, чтобы изучить целевую организацию и её окружение. Затем они адаптируют свои инструменты и методы под конкретную инфраструктуру жертвы и посвящают значительные ресурсы поддержанию скрытного присутствия.

Стоит отметить, что группировка ориентирована лишь на узкий круг целей, но при этом тщательно готовит и проводит атаки. Этот методичный подход подтверждается многочисленными случаями повторного взлома одних и тех же организаций с целью расширения несанкционированного доступа.

В дополнение к похищенным учётным данным, Volt Typhoon активно применяет LotL-техники, не оставляя явных следов своего присутствия. Это ещё больше усложняет их обнаружение.

«Подобные методы позволяют злоумышленникам действовать скрытно, маскируя свою активность под легитимное поведение систем и сетей. В таких условиях их очень сложно обнаружить даже организациям с развитым уровнем кибербезопасности», — подчеркнул Национальный центр кибербезопасности Великобритании.