Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Kinas cyberattackermanöver för att störa USA:s kritiska infrastruktur

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 168

US Cybersecurity and Infrastructure Security Agency (CISA) har utfärdat en rapport som beskriver hur det Kina-stödda Volt Typhoon Advanced persistent hot (APT) är konsekvent inriktar sig på mycket känslig kritisk infrastruktur, med ny information om cyberattackarnas pivot till operativa tekniknätverk (OT) när de väl har grävt in sig.

Med tanke på att OT-nätverket är ansvarigt för de fysiska funktionerna hos industriella kontrollsystem (ICS) och utrustning för tillsynskontroll och datainsamling (SCADA), bekräftar resultaten tydligt pågående misstanke att kinesiska hackare letar efter att kunna störa kritiska fysiska operationer inom energi, vattenförsörjning, kommunikation och transport, förmodligen för att orsaka panik och osämja i händelse av en kinetisk brand mellan USA och Kina.

"Volt Typhoon-aktörer förpositionerar sig på IT-nätverk för att möjliggöra lateral rörelse till OT-tillgångar för att störa funktioner," enligt CISA:s Volt Typhoon-rådgivning. [Vi] "är oroliga över potentialen för dessa aktörer att använda sin nätverksåtkomst för störande effekter i händelse av potentiella geopolitiska spänningar och/eller militära konflikter."

Det är en viktig uppsättning avslöjanden, enligt John Hultquist, chefsanalytiker på Mandiant Intelligence/Google Cloud.

”Tidigare kunde vi från inriktningen dra slutsatsen att skådespelaren hade en stort intresse för kritisk infrastruktur som hade litet intelligensvärde”, sa han i en mejlad analys. Men CISA-rapporten visar att "Volt Typhoon samlar information om, och till och med penetrerar, OT-system - de mycket känsliga systemen som kör de fysiska processerna i hjärtat av kritisk infrastruktur," tillade han. "Under rätt förutsättningar, OT-system kan manipuleras att orsaka stora avstängningar av viktiga tjänster, eller till och med skapa farliga förhållanden.”

Hultquist tillade, "Om det fanns någon skepsis till varför den här skådespelaren utför dessa intrång, borde detta avslöjande sätta det till vila."

Leva av landet och gömda i 5 år

CISA avslöjade också idag att Volt Typhoon (alias Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite och Insidious Taurus) i hemlighet har gömt sig i USA:s infrastruktur i ett halvt decennium – även om de var först offentligt utgiven av Microsoft bara förra året.

"Till skillnad från ransomware-operatörer vars mål är att komma in och orsaka skada snabbt, utnyttjar denna nationalstatsoperatör giltiga konton och "leva av landet" [LOTL] tekniker för att undvika upptäckt under långa tidsperioder, säger Ken Westin, fält CISO vid Panther Lab, i en kommentar som skickas via e-post. "Dessa metoder tillåter gruppen att övervaka sina mål och ge ett fotfäste för att orsaka kinetisk skada."

För att starta upp, förlitar APT "också på giltiga konton och hävstångs[s] stark operativ säkerhet, vilket ... möjliggör långsiktig oupptäckt uthållighet," förklarade CISA. "Volt Typhoon-skådespelare genomför omfattande spaning före exploateringen för att lära sig om målorganisationen och dess miljö; skräddarsy deras taktik, tekniker och procedurer (TTP) till offrets miljö; och dedikera pågående resurser för att bibehålla uthållighet och förstå målmiljön över tid, även efter en första kompromiss.”

Medan Volt Typhoons strategi att hålla sig dold genom att använda legitima verktyg och smälta in i normal trafik är inget nytt fenomen inom cyberbrottslighet, det gör det svårt för potentiella mål att aktivt söka efter skadlig aktivitet, enligt CISA, som utfärdade omfattande LOTL-vägledning idag för att jag gjorde just det.

Samtidigt kan en infrastrukturuppdatering, även om den i vissa fall kan kräva ett kostsamt och arbetskrävande gaffeltruckbyte, inte heller gå fel.

"Många av de OT-miljöer som riktas mot är ökända för att köra föråldrad programvara, antingen av oaktsamhet eller av nödvändighet, om systemen inte kan uppdateras, vilket ökar risken för detta hot", sa Westin.

Oroväckande noterade CISA också att faran sträcker sig utanför USA. Förra månaden identifierade SecurityScorecards STRIKE-team ny infrastruktur kopplad till Volt Typhoon som indikerade att APT också riktade sig till Australiens och Storbritanniens regeringstillgångar. CISA-rapporten utvidgar den risken till att även omfatta Kanada och Nya Zeeland - alla dessa amerikanska partners infrastruktur är också mottaglig för nationalstatsaktörer, varnade den.

CISA:s råd kommer i hälarna på en statliga åtgärder för att störa gruppens små kontor/hemmakontor (SOHO) router-botnät, vilket den brukade kasta bort dem som spårar dess aktivitet.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.