أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تقريرًا يوضح بالتفصيل كيف تمكنت طائرة Volt Typhoon المدعومة من الصين من تطوير التهديد المستمر (APT) تستهدف باستمرار البنية التحتية الحيوية الحساسة للغاية، مع معلومات جديدة حول محور المهاجمين السيبرانيين في شبكات التكنولوجيا التشغيلية (OT) بمجرد اختراقهم للداخل.
وبالنظر إلى أن شبكة التكنولوجيا التشغيلية مسؤولة عن الوظائف المادية لأنظمة التحكم الصناعية (ICS) وأجهزة التحكم الإشرافي والحصول على البيانات (SCADA)، فإن النتائج تدعم بوضوح الشك المستمر أن المتسللين الصينيين يتطلعون إلى أن يكونوا قادرين على تعطيل العمليات المادية الحيوية في مجال الطاقة، مرافق المياهوالاتصالات والنقل، من المفترض أن تسبب الذعر والخلاف في حالة وقوع حادث حريق حركي بين الولايات المتحدة والصين.
"تقوم الجهات الفاعلة في Volt Typhoon بوضع نفسها مسبقًا على شبكات تكنولوجيا المعلومات لتمكين الحركة الجانبية إلى أصول التكنولوجيا التشغيلية لتعطيل الوظائف،" وفقًا لما جاء في تحذير من إعصار فولت من CISA. [نحن] "نشعر بالقلق إزاء احتمال قيام هذه الجهات الفاعلة باستخدام وصولها إلى الشبكة لتحقيق تأثيرات مدمرة في حالة حدوث توترات جيوسياسية محتملة و/أو صراعات عسكرية."
إنها مجموعة مهمة من الاكتشافات، وفقًا لجون هولتكويست، كبير المحللين في Mandiant Intelligence/Google Cloud.
"في السابق، كان بإمكاننا أن نستنتج من الاستهداف أن الممثل كان لديه اهتمام قوي بالبنية التحتية الحيوية وقال في تحليل عبر البريد الإلكتروني: “لم يكن لها قيمة استخباراتية تذكر”. وأضاف أن تقرير CISA يُظهر أن "Volt Typhoon يجمع معلومات عن أنظمة التكنولوجيا التشغيلية، بل ويخترقها، وهي الأنظمة شديدة الحساسية التي تدير العمليات المادية في قلب البنية التحتية الحيوية". "في ظل الظروف المناسبة، يمكن التلاعب بأنظمة OT للتسبب في إغلاق كبير للخدمات الأساسية، أو حتى خلق ظروف خطيرة.
وأضاف هولتكويست: "إذا كان هناك أي شك حول سبب قيام هذا الممثل بهذه التطفلات، فإن هذا الكشف يجب أن يضع حدًا له".
العيش خارج الأرض والاختباء لمدة 5 سنوات
كشفت CISA أيضًا اليوم أن Volt Typhoon (المعروف أيضًا باسم Vanguard Panda وBronze Silhouette وDev-0391 وUNC3236 وVoltzite وInsidious Taurus) قد اختبأ سرًا في البنية التحتية الأمريكية لمدة نصف عقد - على الرغم من أنهم كانوا أول من تم الكشف عنها علنًا بواسطة Microsoft العام الماضي فقط.
"على عكس مشغلي برامج الفدية الذين هدفهم هو الدخول والتسبب في الضرر بسرعة، فإن مشغل الدولة القومية هذا يستفيد من الحسابات الصالحة و "العيش خارج الأرض" [LOTL] قال كين ويستن، كبير مسؤولي أمن المعلومات الميداني في Panther Lab، في تعليق عبر البريد الإلكتروني: "تقنيات تجنب الكشف لفترات طويلة من الزمن". "تتيح هذه الأساليب للتنظيم مراقبة أهدافه وتوفير موطئ قدم لإحداث أضرار حركية".
وأوضح CISA أن APT "يعتمد أيضًا على حسابات صالحة ويستفيد من الأمان التشغيلي القوي، والذي ... يسمح باستمرار غير مكتشف على المدى الطويل". “يقوم ممثلو Volt Typhoon بإجراء استطلاع واسع النطاق قبل الاستغلال للتعرف على المنظمة المستهدفة وبيئتها؛ تصميم تكتيكاتهم وتقنياتهم وإجراءاتهم (TTPs) بما يتناسب مع بيئة الضحية؛ وتخصيص الموارد المستمرة للحفاظ على المثابرة وفهم البيئة المستهدفة مع مرور الوقت، حتى بعد التسوية الأولية.
في حين أن استراتيجية Volt Typhoon تتمثل في البقاء مخفيًا باستخدام الأدوات المساعدة المشروعة والاندماج مع حركة المرور العادية ليست ظاهرة جديدة في الجرائم الإلكترونية، فإنه يجعل من الصعب على الأهداف المحتملة البحث بنشاط عن أي نشاط ضار، وفقًا لـ CISA، التي أصدرت إرشادات LOTL واسعة النطاق اليوم لفعل ذلك تماما.
وفي الوقت نفسه، فإن تحديث البنية التحتية، على الرغم من أنه قد يتطلب في بعض الحالات استبدال رافعة شوكية مكلفة وكثيفة العمالة، قد لا يفشل أيضًا.
وقال ويستن: "تشتهر العديد من بيئات التكنولوجيا التشغيلية المستهدفة بتشغيل برامج قديمة، إما بسبب الإهمال أو الضرورة، إذا لم يكن من الممكن تحديث الأنظمة، مما يزيد من المخاطر التي يشكلها هذا التهديد".
ومما يثير الانزعاج والانزعاج أن جمعية أمن المعلومات في أمريكا لاحظت أيضاً أن الخطر يمتد إلى ما هو أبعد من الولايات المتحدة. في الشهر الماضي، حدد فريق STRIKE التابع لـ SecurityScorecard بنية تحتية جديدة مرتبطة بـ Volt Typhoon والتي أشارت إلى أن APT كان يستهدف أيضًا أصول الحكومة الأسترالية والمملكة المتحدة. وحذر التقرير من أن تقرير CISA يوسع هذا الخطر ليشمل أيضًا كندا ونيوزيلندا - فكل البنية التحتية لشركاء الولايات المتحدة معرضة أيضًا للجهات الفاعلة في الدول القومية.
تأتي نصيحة CISA في أعقاب أ الإجراءات الحكومية لتعطيل شبكة الروبوتات الخاصة بجهاز التوجيه للمكاتب الصغيرة/المكاتب المنزلية (SOHO) للمجموعة، والتي اعتادت عليها التخلص من أولئك الذين يتتبعون نشاطها.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
