Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Chinese cyberaanvallers manoeuvreren om Amerikaanse kritieke infrastructuur te ontwrichten

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 166

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft een rapport uitgebracht waarin gedetailleerd wordt beschreven hoe de door China gesteunde Volt Typhoon Advanced Persistent Threat (APT) is zich consequent richten op zeer gevoelige kritieke infrastructuur, met nieuwe informatie over de spil van de cyberaanvallers naar operationele technologie (OT)-netwerken zodra ze zich erin hebben ingegraven.

Gezien het feit dat het OT-netwerk verantwoordelijk is voor de fysieke functies van industriële controlesystemen (ICS) en toezichthoudende controle- en data-acquisitieapparatuur (SCADA), bevestigen de bevindingen duidelijk de aanhoudende verdenking dat Chinese hackers kritieke fysieke activiteiten in de energiesector willen ontwrichten, waterbedrijven, communicatie en transport, vermoedelijk om paniek en onenigheid te veroorzaken in het geval van a kinetische vuurzee tussen de VS en China.

“Volt Typhoon-acteurs positioneren zichzelf vooraf op IT-netwerken om zijdelingse verplaatsing naar OT-middelen mogelijk te maken om functies te verstoren”, aldus CISA's Volt Typhoon-advies. [Wij] “zijn bezorgd over het potentieel voor deze actoren om hun netwerktoegang te gebruiken voor ontwrichtende effecten in het geval van potentiële geopolitieke spanningen en/of militaire conflicten.”

Volgens John Hultquist, hoofdanalist bij Mandiant Intelligence/Google Cloud, gaat het om een ​​belangrijke reeks onthullingen.

“Voorheen konden we uit targeting afleiden dat de acteur een sterke interesse in kritieke infrastructuur dat had weinig intelligentiewaarde”, zei hij in een analyse per e-mail. Maar uit het CISA-rapport blijkt dat “Volt Typhoon informatie verzamelt over en zelfs binnendringt in OT-systemen – de zeer gevoelige systemen die de fysieke processen in het hart van kritieke infrastructuur uitvoeren”, voegde hij eraan toe. “Onder de juiste omstandigheden OT-systemen kunnen worden gemanipuleerd om grote stilleggingen van essentiële diensten te veroorzaken, of zelfs om gevaarlijke omstandigheden te creëren.”

Hultquist voegde hieraan toe: “Als er enige scepsis bestond over de reden waarom deze acteur deze inbraken pleegt, zou deze onthulling daar een einde aan moeten maken.”

Vijf jaar lang van het land leven en onderduiken

CISA heeft vandaag ook onthuld dat Volt Typhoon (ook bekend als Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite en Insidious Taurus) zich al een half decennium in het geheim verborgen heeft gehouden in de Amerikaanse infrastructuur – ook al waren ze de eerste publiekelijk bekend gemaakt door Microsoft alleen vorig jaar.

“In tegenstelling tot ransomware-exploitanten wiens doel het is om binnen te dringen en snel schade aan te richten, maakt deze nationale exploitant gebruik van geldige accounts en 'leven van het land' [LOTL] technieken om detectie gedurende langere tijd te omzeilen”, zegt Ken Westin, veld-CISO bij Panther Lab, in een commentaar per e-mail. “Deze methoden stellen de groep in staat hun doelen te monitoren en een houvast te bieden om kinetische schade aan te richten.”

Bovendien vertrouwt de APT “ook op geldige accounts en maakt gebruik van sterke operationele beveiliging, die … onontdekte persistentie op de lange termijn mogelijk maakt”, legt CISA uit. “Volt Typhoon-acteurs voeren uitgebreide pre-exploitatieverkenningen uit om meer te weten te komen over de doelorganisatie en haar omgeving; hun tactieken, technieken en procedures (TTP's) afstemmen op de omgeving van het slachtoffer; en voortdurend middelen besteden aan het behouden van doorzettingsvermogen en het begrijpen van de doelomgeving in de loop van de tijd, zelfs na een aanvankelijk compromis.

Terwijl de strategie van Volt Typhoon om verborgen te blijven door legitieme hulpprogramma's te gebruiken en op te gaan in het normale verkeer is geen nieuw fenomeen in cybercriminaliteit, maakt het het voor potentiële doelwitten moeilijk om actief te scannen op kwaadaardige activiteiten CISA, die uitgebreide LOTL-richtlijnen heeft uitgegeven vandaag om precies dat te doen.

Ondertussen zou een update van de infrastructuur, hoewel deze in sommige gevallen een kostbare en arbeidsintensieve vervanging van de vorkheftruck zou kunnen vereisen, ook niet mis kunnen gaan.

“Veel van de OT-omgevingen die het doelwit zijn, zijn berucht vanwege het draaien van verouderde software, hetzij uit nalatigheid of uit noodzaak, als de systemen niet kunnen worden bijgewerkt, wat het risico van deze dreiging vergroot”, aldus Westin.

Zorgwekkend genoeg merkte CISA ook op dat het gevaar zich tot buiten de VS uitstrekt. Vorige maand identificeerde het STRIKE-team van SecurityScorecard nieuwe infrastructuur die verband hield met Volt Typhoon, wat aangaf dat de APT zich ook richtte op Australische en Britse overheidsactiva. Het CISA-rapport breidt dat risico uit en omvat ook Canada en Nieuw-Zeeland – de infrastructuur van al deze Amerikaanse partners is ook vatbaar voor nationale actoren, waarschuwde het rapport.

Het advies van CISA volgt op een overheidsingrijpen om te ontwrichten het kleine kantoor/thuiskantoor (SOHO) routerbotnet van de groep, waar het vroeger ook gebruik van maakte gooi degenen die zijn activiteit volgen, af.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.