Правителството на САЩ, в сътрудничество със заинтересовани страни от частния сектор, работи тихо за прекъсване на инфраструктурата за атаки на „Volt Typhoon“ – опасна група за заплахи, свързана с Китай, която поне от средата на 2021 г. е свързана с множество атаки, насочени към критичната инфраструктура на САЩ.
На 30 януари Ройтерс, позовавайки се на множество неназовани източници, съобщи, че дейността включва опити на САЩ да деактивират дистанционно аспекти на китайската операция през последните няколко месеца. Според Ройтерс Министерството на правосъдието на САЩ и ФБР ръководят усилията, след като са потърсили и получили правно разрешение.
Съобщава се, че усилията за прекъсване на работата произтичат от нарастващото безпокойство в разузнавателната общност на САЩ относно широко разпространената хакерска дейност – включително рансъмуер – на свързани с Китай групи като цяло и по-специално на Volt Typhoon. „Volt Typhoon“ е разтревожил особено много служителите на разузнаването, които твърдят, че той е част от по-големи усилия за компрометиране на западната критична инфраструктура, включително морски пристанища, доставчици на интернет услуги и комунални услуги“, посочва Ройтерс.
Голямото безпокойство е, че заплахата помага да се положат основите на способности, които биха позволили на Китай да наруши възможностите в Индо-тихоокеанския регион, които подкрепят или обслужват военните операции на САЩ в района. „Източници твърдят, че американски служители се опасяват, че хакерите работят, за да навредят на готовността на САЩ в случай на китайско нахлуване в Тайван“, заяви Ройтерс.
Microsoft, един от първите, които публично съобщиха за „Volt Typhoon“ през май миналата година, по подобен начин стигна до заключението, че целта на субекта на заплахата е да развие способности, които биха му позволили да наруши комуникационната инфраструктура между САЩ и азиатския регион по време на бъдеща криза. Сред жертвите на групата са организации от комуникационния, транспортния, морския, правителствения и комуналния сектор, както и от сектора на информационните технологии.
Microsoft описва, че Volt Typhoon поставя силен акцент върху скритостта, като например почти изключително използва легитимни инструменти, техники за живеене на земята и практическа дейност с клавиатурата при своите атаки. Групата също така често се опитва да впише зловредното си присъствие в нормалната мрежова дейност, като използва компрометирани мрежови устройства за малки и домашни офиси (SOHO), за да насочва трафика си. „Наблюдаваното поведение подсказва, че заплахата възнамерява да извършва шпионаж и да поддържа достъп, без да бъде открит, възможно най-дълго“, казват от Microsoft.
През декември 2023 г. изследователи от Lumen идентифицираха Volt Typhoon като една от няколкото китайски групи за заплахи, използващи голям SOHO ботнет, наречен KV-Botnet, като инфраструктура за командване и управление (C2) при атаки срещу цели с висока стойност. Lumen оценява ботнета – съставен предимно от стари рутери Cisco, DrayTek и Netgear – като нещо, което Volt Typhoon вероятно е използвала при атаки срещу доставчик на интернет услуги, две телекомуникационни фирми и американска правителствена агенция в Гуам.
Неотдавна SecurityScorecard съобщи, че е наблюдавала как Volt Typhoon се опитва да компрометира излезли от употреба маршрутизатори Cisco RV320 и да ги направи част от разрастващия се ботнет C2. Като част от кампанията изследователите на SecurityScorecard са наблюдавали как Volt Typhoon пуска неизвестна досега – и все още неанализирана – уеб обвивка, наречена fy.sh, на компрометирани системи.
Според Ройтерс правителството на САЩ е поискало от няколко неназовани компании за изчисления в облак, телекомуникационни фирми и частни технологични компании съдействие за проследяване и прекратяване на дейността на Volt Typhoon. Според Ройтерс длъжностни лица от Белия дом са се срещнали с лидери на заинтересовани организации от частния сектор, за да обсъдят плановете за прекъсване на дейността на Volt Typhoon.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.