Het Chinese National Computer Virus Emergency Response Center (CVERC) heeft de beweringen die de dreigingsactor bekend staat, verdubbeld de Volttyfoon is een verzinsel van de VS en haar bondgenoten.
Het bureau beschuldigde vervolgens, in samenwerking met het National Engineering Laboratory for Computer Virus Prevention Technology, de Amerikaanse federale overheid, inlichtingendiensten en Five Eyes-landen van het uitvoeren van cyberspionageactiviteiten tegen China, Frankrijk, Duitsland, Japan en internetgebruikers wereldwijd. .
Het zei ook dat er ‘ijzersterk bewijs’ is dat erop wijst dat de VS ‘false flag’-operaties uitvoeren in een poging zijn eigen kwaadwillige cyberaanvallen te verbergen. -schaal van een mondiaal internetsurveillancenetwerk.”
“En het feit dat de VS aanvallen op de toeleveringsketen hebben overgenomen, achterdeurtjes in internetproducten hebben geïmplanteerd en ‘vooraf gepositioneerd’ hebben, heeft de Volt Typhoon volledig ontkracht – een politieke farce geschreven, geregisseerd en uitgevoerd door de Amerikaanse federale overheid”, aldus het rapport.
“De Amerikaanse militaire basis in Guam is helemaal geen slachtoffer geweest van de Volt Typhoon-cyberaanvallen, maar de initiatiefnemer van een groot aantal cyberaanvallen tegen China en veel Zuidoost-Aziatische landen en het backhaulcentrum van gestolen gegevens.”
Het is vermeldenswaard dat een eerder rapport, gepubliceerd door CVERC in juli, de Volt Typhoon karakteriseerde als een desinformatiecampagne, georkestreerd door de Amerikaanse inlichtingendiensten.
Volt Typhoon is de bijnaam die is toegewezen aan een cyberspionagegroep uit China, waarvan wordt aangenomen dat deze sinds 2019 actief is en zich heimelijk in kritieke infrastructuurnetwerken heeft ingebed door verkeer via edge-apparaten te leiden, waardoor routers, firewalls en VPN-hardware in gevaar worden gebracht in een poging om op te gaan in de netwerken. onder de radar vliegen.
Nog recentelijk, eind augustus 2024, werd het gekoppeld aan de zero-day-exploitatie van een zeer ernstige beveiligingsfout die gevolgen had voor Versa Director (CVE-2024-39717, CVSS-score: 6,6) om een webshell te leveren met de naam VersaMem voor het vergemakkelijken van diefstal van inloggegevens en willekeurige code uitvoeren.
Het gebruik van edge-apparaten door aan China gekoppelde inbraaksets is de afgelopen jaren een soort patroon geworden, waarbij sommige campagnes deze gebruiken als Operational Relay Boxes (ORB’s) om detectie te omzeilen.
Dit wordt onderbouwd door een recent rapport gepubliceerd door het Franse cyberbeveiligingsbedrijf Sekoia, waarin bedreigingsactoren die waarschijnlijk van Chinese afkomst zijn, worden toegeschreven aan een brede aanvalscampagne die edge-apparaten zoals routers en camera’s infecteert om backdoors zoals GobRAT en Bulbature in te zetten voor vervolgaanvallen. tegen interessante doelwitten.
“Bulbature, een implantaat dat nog niet in open source was gedocumenteerd, lijkt alleen te worden gebruikt om het gecompromitteerde edge-apparaat te transformeren in een ORB om aanvallen op netwerken van uiteindelijke slachtoffers door te geven”, aldus de onderzoekers.
“Deze architectuur, bestaande uit gecompromitteerde randapparaten die als ORB’s fungeren, stelt een operator in staat offensieve cyberoperaties over de hele wereld uit te voeren in de buurt van de einddoelen en de locatie ervan te verbergen door on-demand proxy-tunnels te creëren.”
In het laatste 59 pagina’s tellende document zeiden de Chinese autoriteiten dat meer dan 50 veiligheidsexperts uit de VS, Europa en Azië contact hebben opgenomen met de CVERC en hun zorgen hebben geuit over “het Amerikaanse valse verhaal” over Volt Typhoon en het gebrek aan bewijs dat de bedreigingsacteur voor China.
De CVERC noemde deze experts echter niet, noch hun redenen om de hypothese te ondersteunen. Verder werd gesteld dat de Amerikaanse inlichtingendiensten uiterlijk in 2015 een heimelijke toolkit hadden gecreëerd, genaamd Marble, met de bedoeling om attributie-inspanningen te verwarren.
“De toolkit is een toolframework dat kan worden geïntegreerd met andere ontwikkelingsprojecten voor cyberwapens om ontwikkelaars van cyberwapens te helpen bij het verdoezelen van verschillende identificeerbare kenmerken in programmacode, waardoor de ‘vingerafdrukken’ van ontwikkelaars van cyberwapens effectief worden ‘gewist’”, aldus het rapport.
“Bovendien heeft het raamwerk een meer ‘schaamteloze’ functie om strings in andere talen in te voegen, zoals Chinees, Russisch, Koreaans, Perzisch en Arabisch, wat duidelijk bedoeld is om onderzoekers te misleiden en China, Rusland, Noord-Korea en Iran in de val te lokken. en Arabische landen.”
Het rapport maakt verder van de gelegenheid gebruik om de VS ervan te beschuldigen te vertrouwen op hun “aangeboren technologische voordelen en geologische voordelen bij de aanleg van het internet” om glasvezelkabels over de Atlantische Oceaan en de Stille Oceaan te controleren en deze te gebruiken voor “willekeurige monitoring” van internetgebruikers. wereldwijd.
Het beweerde ook dat bedrijven als Microsoft en CrowdStrike hun toevlucht hebben genomen tot het geven van ‘absurde’ benamingen met ‘duidelijke geopolitieke ondertoon’ voor bedreigingsactiviteitengroepen met namen als ‘tyfoon’, ‘panda’ en ‘draak’.
“Nogmaals willen we oproepen tot uitgebreide internationale samenwerking op dit gebied”, concludeerde het rapport. “Bovendien moeten cyberbeveiligingsbedrijven en onderzoeksinstellingen zich concentreren op onderzoek naar technologie tegen cyberdreigingen en betere producten en diensten voor gebruikers.”
