Китайская группа кибершпионская Volt Typhoon проникла в сети объектов критической инфраструктуры в США. Хакеры сохраняли доступ и оставались незамеченными в течение как минимум пяти лет, говорится в совместном заявлении CISA, АНБ, ФБР и других агентств, входящих в альянс Five Eyes (объединяет спецслужбы Австралии, Канады, Новой Зеландии, США и Великобритании).
Группировка Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) известна тем, что в своих атаках, нацеленных на организации критической инфраструктуры, широко использует методы living off the land (LOTL). Кроме того, хакеры используют украденные учетные данные и проявляют осмотрительность, что позволяет им избегать обнаружения и долгое время сохранять присутствие во взломанных системах.
«Недавно американские правительственные ведомства обнаружили признаки того, что злоумышленники Volt Typhoon сохраняли доступ и позиции в некоторых ИТ-средах жертв в течение как минимум пяти лет, — гласит заявление. — Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы собрать информацию о целевой организации и ее окружении, адаптируют свои тактики к окружению жертвы, а также выделяют ресурсы для сохранения доступа и понимания целевой среды на протяжении долгого времени после изначальной компрометации».
Сообщается, что китайская группировка успешно взломала сети множества организаций критической инфраструктуры по всей территории США, в основном нацеливаясь на сектора связи, энергетики, транспорта и водоснабжения и канализации. Названия пострадавших организаций не раскрываются.
Полученный доступ позволял хакерам провоцировать различные сбои, например «манипулировать системами отопления, вентиляции и кондиционирования воздуха (HVAC) в серверных или нарушать работу критически важных систем управления энергоснабжением и водоснабжением, что могло привести к значительным нарушениям в работе инфраструктуры». Также сообщается, что в некоторых случаях злоумышленники могли получить доступ к системам видеонаблюдения на критически важных объектах, хотя неясно, удалось ли им это сделать.
Цели и тактики злоумышленников отличаются от типичной кибершпионской активности, что позволяет властям с высокой степенью уверенности предположить, что конечной целью было именно нарушение работы критической инфраструктуры, а не шпионаж. Также американские власти опасаются, что Volt Typhoon может использовать полученный доступ к критическим сетям для оказания разрушительного эффекта на КИИ, особенно в условиях геополитической напряженности.
Напомним, что китайская хак-группа атакует и взламывает критическую инфраструктуру США как минимум с середины 2021 года, согласно отчету Microsoft, опубликованному в 2023 году. В ходе этих атак хакеры использовали ботнет из сотен SOHO-роутеров и других устройств, разбросанных по всей территории США, чтобы скрыть вредоносную активность и избежать обнаружения.
Недавно ФБР заявило, что ликвидировало этот ботнет еще в декабре 2023 года и очистило взломанные устройства от малвари Volt Typhoon. По данным ИБ-экспертов, пока хакеры безуспешно пытаются восстановить разрушенную инфраструктуру.