De Amerikaanse regering zei woensdag dat de door de Chinese staat gesponsorde hackgroep bekend staat als Volttyfoon was al minstens vijf jaar ingebed in een aantal kritieke infrastructuurnetwerken in het land.
Doelwitten van de dreigingsactor zijn onder meer de sectoren communicatie, energie, transport en water- en afvalwatersystemen in de VS en Guam.
“De keuze van de doelen en het gedragspatroon van Volt Typhoon is niet consistent met traditionele cyberspionage- of inlichtingenvergaringsoperaties, en de Amerikaanse auteursbureaus zijn met groot vertrouwen van mening dat Volt Typhoon-actoren zichzelf vooraf positioneren op IT-netwerken om zijdelingse verplaatsing naar OT-middelen mogelijk te maken. om functies te verstoren”, aldus de Amerikaanse regering.
Het gezamenlijke advies, dat werd uitgebracht door de Cybersecurity and Infrastructure Security Agency (CISA), de National Security Agency (NSA) en het Federal Bureau of Investigation (FBI), werd ook gesteund door andere landen die deel uitmaken van de Five Eyes (FVEY). ) inlichtingenalliantie bestaande uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk
Volt Typhoon – ook wel Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda of Voltzite genoemd – een heimelijke, in China gevestigde cyberspionagegroep waarvan wordt aangenomen dat deze sinds juni 2021 actief is.
Het kwam voor het eerst aan het licht in mei 2023 toen Microsoft onthulde dat de hackers erin slaagden om voor langere tijd vaste voet aan de grond te krijgen in kritieke infrastructuurorganisaties in de VS en Guam, zonder ontdekt te worden, door voornamelijk gebruik te maken van ‘living-off-the-land’ (LotL ) technieken.
“Dit soort ambacht, bekend als ‘leven van het land’, stelt aanvallers in staat discreet te opereren, waarbij kwaadaardige activiteiten samengaan met legitiem systeem- en netwerkgedrag, waardoor het moeilijk wordt om onderscheid te maken – zelfs voor organisaties met een meer volwassen beveiligingshouding”, zegt het Verenigd Koninkrijk. Dat meldt het Nationaal Cyber Security Centrum (NCSC).
Een andere kenmerkende tactiek van Volt Typhoon is het gebruik van multi-hop proxy’s zoals het KV-botnet om kwaadaardig verkeer door een netwerk van gecompromitteerde routers en firewalls in de VS te leiden om de ware oorsprong ervan te maskeren.
Cyberbeveiligingsbedrijf CrowdStrike riep in een in juni 2023 gepubliceerd rapport uit dat het vertrouwt op een uitgebreid arsenaal aan open-sourcetools tegen een beperkt aantal slachtoffers om zijn strategische doelen te bereiken.
“Volt Typhoon-acteurs voeren uitgebreide pre-exploitatieverkenningen uit om meer te weten te komen over de doelorganisatie en haar omgeving; stemmen hun tactieken, technieken en procedures (TTP’s) af op de omgeving van het slachtoffer; en besteden voortdurend middelen aan het behouden van doorzettingsvermogen en het begrijpen van de doelomgeving in de loop van de tijd , zelfs na een aanvankelijk compromis”, merkten de agentschappen op.
“De groep vertrouwt ook op geldige accounts en maakt gebruik van sterke operationele beveiliging, die samen onontdekte persistentie op de lange termijn mogelijk maakt.”
Bovendien is waargenomen dat de natiestaat probeert beheerdersreferenties binnen het netwerk te verkrijgen door misbruik te maken van escalatiefouten van privileges, en vervolgens de verhoogde toegang te benutten om laterale beweging, verkenning en compromissen over het volledige domein te vergemakkelijken.
Het uiteindelijke doel van de campagne is om de toegang tot de aangetaste omgevingen te behouden, door deze in de loop van de jaren ‘methodisch’ opnieuw te targeten om hun ongeautoriseerde toegang te valideren en uit te breiden. Deze zorgvuldige aanpak komt volgens de bureaus tot uiting in gevallen waarin ze herhaaldelijk domeinreferenties hebben geëxfiltreerd om toegang tot huidige en geldige accounts te garanderen.
“Naast het gebruik van gestolen accountgegevens maken de actoren gebruik van LOTL-technieken en vermijden ze het achterlaten van malware-artefacten op systemen die waarschuwingen zouden veroorzaken”, aldus CISA, FBI en NSA.
“Hun sterke focus op stealth en operationele veiligheid stelt hen in staat om onontdekte volharding op de lange termijn te behouden. Bovendien wordt de operationele veiligheid van Volt Typhoon verbeterd door gerichte verwijdering van logbestanden om hun acties binnen de aangetaste omgeving te verbergen.”
De ontwikkeling komt op het moment dat het Citizen Lab een netwerk onthulde van minstens 123 websites die lokale nieuwsuitzendingen uit 30 landen in Europa, Azië en Latijns-Amerika nabootsen en die pro-Chinese inhoud pushen in een wijdverbreide invloedscampagne die gekoppeld is aan een PR-bedrijf in Beijing genaamd Shenzhen. Haimaiyunxiang Media Co., Ltd.
De in Toronto gevestigde digitale waakhond, die de invloedsoperatie PAPERWALL noemde, zei dat het overeenkomsten deelt met HaiEnergy, zij het met verschillende operators en unieke TTP’s.
“Een centraal kenmerk van PAPERWALL, waargenomen in het hele netwerk van websites, is de kortstondige aard van de meest agressieve componenten, waarbij artikelen waarin de critici van Peking worden aangevallen routinematig van deze websites worden verwijderd enige tijd nadat ze zijn gepubliceerd”, aldus het Citizen Lab.
In een verklaring gedeeld met Reuters zei een woordvoerder van de Chinese ambassade in Washington: “Het is een typisch vooroordeel en een dubbele standaard om te beweren dat de pro-Chinese inhoud en rapporten ‘desinformatie’ zijn, en om de anti-Chinese inhoud ‘desinformatie’ te noemen. .'”
