La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha pubblicato un rapporto che descrive in dettaglio come la minaccia persistente avanzata (APT) Volt Typhoon, sostenuta dalla Cina, sia prendendo di mira costantemente le infrastrutture critiche altamente sensibili, con nuove informazioni sul perno degli aggressori informatici verso le reti di tecnologia operativa (OT) una volta che si sono insinuati all'interno.
Dato che la rete OT è responsabile delle funzioni fisiche dei sistemi di controllo industriale (ICS) e delle apparecchiature di controllo di supervisione e acquisizione dati (SCADA), i risultati confermano chiaramente la tesi sospetto continuo che gli hacker cinesi stanno cercando di interrompere operazioni fisiche critiche nel settore energetico, servizi idrici, comunicazioni e trasporti, presumibilmente per causare panico e discordia in caso di a conflagrazione cinetica tra Stati Uniti e Cina.
“Gli attori del Volt Typhoon si stanno pre-posizionando sulle reti IT per consentire lo spostamento laterale verso le risorse OT per interrompere le funzioni”, secondo Avviso Volt Typhoon della CISA. [Noi] “siamo preoccupati per la possibilità che questi attori utilizzino il loro accesso alla rete per effetti dirompenti in caso di potenziali tensioni geopolitiche e/o conflitti militari”.
Si tratta di una serie importante di rivelazioni, secondo John Hultquist, capo analista di Mandiant Intelligence/Google Cloud.
“In precedenza, potevamo dedurre dal targeting che l'attore aveva un forte interesse per le infrastrutture critiche questo aveva poco valore di intelligence", ha detto in un'analisi inviata via e-mail. Ma il rapporto CISA mostra che “Volt Typhoon sta raccogliendo informazioni e persino penetrando nei sistemi OT, i sistemi altamente sensibili che gestiscono i processi fisici nel cuore delle infrastrutture critiche”, ha aggiunto. “Nelle giuste condizioni, I sistemi OT potrebbero essere manipolati causare gravi interruzioni di servizi essenziali o addirittura creare condizioni pericolose”.
Hultquist ha aggiunto: "Se ci fosse qualche scetticismo sul motivo per cui questo attore sta effettuando queste intrusioni, questa rivelazione dovrebbe metterlo a tacere".
Vivere dei prodotti della terra e nascondersi per 5 anni
La CISA ha anche rivelato oggi che Volt Typhoon (alias Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite e Insidious Taurus) si è nascosto segretamente nelle infrastrutture statunitensi per mezzo decennio, anche se sono stati i primi pubblicamente pubblicato da Microsoft solo l'anno scorso.
"A differenza degli operatori di ransomware il cui obiettivo è entrare e causare danni rapidamente, questo operatore-stato-nazione sta sfruttando account validi e 'vivere dei frutti della terra' [LOTL] tecniche per eludere il rilevamento per lunghi periodi di tempo", ha affermato Ken Westin, CISO sul campo presso Panther Lab, in un commento via e-mail. “Questi metodi consentono al gruppo di monitorare i propri obiettivi e fornire un punto d’appoggio per causare danni cinetici”.
Per di più, l’APT “si basa anche su conti validi e fa leva su una forte sicurezza operativa, che… consente una persistenza a lungo termine non ancora scoperta”, ha spiegato la CISA. “Gli attori di Volt Typhoon conducono un’ampia ricognizione pre-sfruttamento per conoscere l’organizzazione bersaglio e il suo ambiente; adattare le proprie tattiche, tecniche e procedure (TTP) all'ambiente della vittima; e dedicare risorse continue al mantenimento della persistenza e alla comprensione dell’ambiente di destinazione nel tempo, anche dopo il compromesso iniziale”.
Mentre la strategia di Volt Typhoon è quella di rimanere nascosti utilizzando servizi legittimi e confondendosi con il traffico normale non è un fenomeno nuovo nel crimine informatico, secondo CISA, che ha pubblicato ampie linee guida LOTL oggi per aver fatto proprio questo.
Nel frattempo, un aggiornamento dell’infrastruttura, anche se in alcuni casi potrebbe richiedere una sostituzione costosa e ad alta intensità di manodopera del carrello elevatore, potrebbe non andare storto.
“Molti degli ambienti OT presi di mira sono noti per l’esecuzione di software obsoleto, per negligenza o necessità, se i sistemi non possono essere aggiornati, il che aumenta il rischio rappresentato da questa minaccia”, ha affermato Westin.
In modo preoccupante, la CISA ha anche osservato che il pericolo si estende oltre gli Stati Uniti. Il mese scorso, il team STRIKE di SecurityScorecard ha identificato una nuova infrastruttura collegata a Volt Typhoon che indicava che l'APT stava prendendo di mira anche risorse governative australiane e britanniche. Il rapporto CISA amplia questo rischio per includere anche Canada e Nuova Zelanda: tutte le infrastrutture di questi partner statunitensi sono anche suscettibili agli attori degli stati-nazione, avverte.
La consulenza del CISA arriva sulla scia di a azione del governo per interrompere la botnet router per piccoli uffici/home office (SOHO) del gruppo, come era in passato eliminare coloro che ne monitorano l'attività.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
