Спецпроекты

Безопасность Техника

Китайская шпионская группировка пять лет хозяйничала в критической инфраструктуре США

APT-группа Volt Typhoon в течение нескольких лет обладала доступом к технологическим сетям ряда объектов критической инфраструктуры, в т.ч. транспортной и водной.

Неуловимые

Китайская кибершпионская группировка Volt Typhoon в течение пяти лет сохраняла доступ в инфраструктуру американских организаций, относящихся к критической инфраструктуре. Об этом говорится в новом докладе, подготовленном совместно Агентством по защите инфраструктуры и кибербезопасности США (CISA), АНБ, ФБР и их партнёрами по альянсу Five Eyes.

Большинство атакованных Volt Typhoon организаций относились к таким сферам как коммуникации, энергетика, транспорт, водоснабжение и канализация.

Судя по деятельности операторов Volt Typhoon, конечной целью их было внедрение в управляющие системы критической инфраструктуры с тем, чтобы нарушить их нормальное функционирование в случае крупного политического кризиса или прямого конфликта между КНР и США.

haker_kandinsky_700.jpg
Фото: Kandinsky
Китайские хакеры угрожали критической инфраструктуре США

«Скоординированная кибератака на крупные объекты критической гражданской инфраструктуры по своим деструктивным последствиям вполне может быть сопоставима с применением оружия массового поражения (ОМП)», - говорит Алексей Водясов, технический директор компании SEQ. По его словам, не существует никаких международных договоренностей, которые бы ограничивали применение кибероружия, в отличие от ОМП, а поэтому полагаться приходится только на компетентность тех, кто профессионально занимается информационной безопасностью. «Хотя по большому счету ею, хотя бы на базовом уровне, должны заниматься все, пользователи любых цифровых устройств», - подытожил Алексей Водясов.

LOTL-методы

По данным исследователей, которые выявили действия китайских кибердиверсантов, операторы Volt Typhoon производили обширную предварительную разведку, исследовали устроение информационной инфраструктуры и подстраивали свои методы операции (TTP) под неё. И даже после изначальной компрометации хакеры продолжали исследовать взломанную инфраструктур, стремясь понять происходящие в ней процессы, а также предпринимали множество усилий для сохранения своего присутствия.

Характерной чертой действий Volt Typhoon является использование LOTL-методик - т.е. применение легитимных сетевых инструментов - для скрытного передвижения по скомпрометированной инфраструктуре. Применение этих методик значительно затрудняет обнаружение вредоносной активности: отличить её от легитимных процессов внутри сети чрезвычайно сложно.

CISA и её партнёры специально подготовили руководство по выявлению и пресечению вредоносных действий с помощью LOTL-методик.

Volt Typhoon (она же Bronze Silhouette) впервые была раскрыта в мае 2023 г. экспертами корпорации Microsoft по информационной безопасности. В изначальном их исследовании говорилось, что эта группа атаковала критическую инфраструктуру США как минимум с середины 2021 г.

Помимо прочего они использовали ботнет KV-botnet, включавший различные роутеры и IP-камеры, размещённые в сетях нескольких сотен малых частных бизнесов, разбросанных по всей территории США.

В начале декабря 2023 г. агенты ФБР получили судебный ордер и перехватили контроль над ключевым управляющим сервером ботнета, отрезав хакерам доступ к конечным устройствам. Эксперты Lumen Black Lotus Labs нейтрализовали оставшиеся управляющие и загрузочные серверы.

Volt Typhoon попытались воссоздать ботнет, произведя широкомасштабную атаку в общей сложности на 3045 других устройств. Скомпрометировать, впрочем, удалось лишь 630 устройств.

Спустя несколько дней после операции CISA и ФБР поручили производителям роутеров устранить слабые места в защите веб-интерфейсов в своих устройствах, обезопасить реквизиты доступа и автоматизировать установку обновлений безопасности со стороны вендоров.

Роман Георгиев

Короткая ссылка