Директор ФБР Кристофер Рэй предупредил, что связанные с Китаем злоумышленники готовят атаку на критически важную инфраструктуру США, сообщает Reuters. По словам главы ФБР, китайские хакеры ждут «подходящего момента, чтобы нанести сокрушительный удар».
В феврале CISA США, АНБ и ФБР вместе с агентствами-партнерами Five Eyes опубликовали совместную рекомендацию, предупреждающую, что связанный с Китаем APT Volt Typhoon проник в сеть критической инфраструктуры в США и оставался незамеченным в течение как минимум пяти лет.
«Американские агентства-авторы недавно обнаружили признаки того, что участники Volt Typhoon сохраняют доступ и плацдармы в некоторых пострадавших ИТ-средах в течение как минимум пяти лет», — говорится в предупреждении.
Постоянная серьезная угроза (англ. advanced persistent threat, APT) — термин кибербезопасности, означающий противника, обладающего современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать угрозу опасных кибератак.
Термин изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии».
По состоянию на 2015 г., не выработано абсолютных методов противодействия угрозам класса APT, они продолжают развиваться. Обнаружение целевой атаки требует тщательного анализа событий безопасности за длительный срок. Отличительным аспектом последствий атаки является отсутствие гарантии полного восстановления и дальнейшей безопасности. Для внедрения должных контрмер требуется глубокое понимание сущности, моделей и рисков APT.
Группа «Вольт Тайфун» действует как минимум с середины 2021 года и проводит кибероперации против критически важной инфраструктуры. В самой последней кампании группа нацелилась на организации в сфере связи, производства, коммунального хозяйства, транспорта, строительства, морского транспорта, государственного управления, информационных технологий и образования.
Чтобы избежать обнаружения, группа APT использует почти исключительно методы проживания за счет земли и действия руками на клавиатуре (living-off-the-land techniques and hands-on-keyboard activity), т.к. без установки вредоносных файлов на систему жертвы.
«Жизнь за счет земли» (LOTL) — это бесфайловое вредоносное ПО или метод кибератаки LOLbins, при котором киберпреступник использует нативные легальные инструменты в системе жертвы для поддержания и развития кибератаки.
В декабре 2023 года Microsoft впервые заметила, что для сокрытия вредоносного трафика злоумышленник направляет трафик через скомпрометированные сетевые устройства малого и домашнего офиса (SOHO), включая маршрутизаторы, межсетевые экраны и оборудование VPN. Группа также полагается на индивидуальные версии инструментов с открытым исходным кодом для C2 коммуникаций и для того, чтобы оставаться вне поля зрения.
Инфраструктура управления и контроля, также известная как C2 или C&C, представляет собой набор инструментов и методов, которые злоумышленники используют для поддержания связи со скомпрометированными устройствами после первоначальной эксплуатации.
Китайская группа кибершпионажа успешно взломала сети нескольких организаций критической инфраструктуры США. Большинство пострадавших организаций работают в секторах связи, энергетики, транспортных систем и систем водоснабжения и водоотведения.
«Группа также полагается на действительные учетные записи и использует надежную операционную безопасность, что в совокупности обеспечивает долгосрочную скрытую устойчивость. Фактически, американские агентства недавно заметили признаки того, что участники «Вольт-Тайфуна» сохраняли доступ и плацдармы в некоторых пострадавших ИТ-средах в течение как минимум пяти лет. Они проводят обширную предэксплуатационную разведку, чтобы узнать о целевой организации и ее окружении; адаптировать свою тактику, методы и процедуры (TTP) к вычислительной среде жертвы; и выделять постоянные ресурсы для поддержания устойчивости и понимания целевой среды с течением времени, даже после первоначальной компрометации».
Агентства США опасаются возможности того, что эти субъекты могут получить доступ к сетям критической инфраструктуры, чтобы вызвать разрушительные последствия в случае потенциальной геополитической напряженности и/или военных конфликтов.
Действия Volt Typhoon позволяют предположить, что группа в первую очередь стремится закрепиться в сетях для обеспечения доступа к активам операционных технологий (OT).
Операционные технологии — аппаратное и программное обеспечение, которое детектирует или вызывает изменения посредством прямого наблюдения и/или управления промышленным оборудованием, активами, процессами и событиями.
Агентства США также выпустили техническое руководство, содержащее рекомендации по выявлению и смягчению последствий методов “проживания за счет земли”, используемых группой APT.
Представитель МИД Китая недавно заявил, что деятельность «Вольт Тайфун» не связана с Пекином, а связана с операцией киберпреступности.
Рэй подтвердил, что кампания Volt Typhoon все еще продолжается и взломала многочисленные американские компании в телекоммуникациях, энергетике, водоснабжении и других важных секторах.
Спонсируемые государством хакеры также атаковали 23 оператора трубопроводов, сообщил Рэй во время выступления на саммите Вандербильта по современным конфликтам и возникающим угрозам.
Директор ФБР отметил, что Китай развивает «способность физически сеять хаос в критически важной инфраструктуре США в любое время по своему выбору». «Его план состоит в том, чтобы нанести удары ниже пояса по гражданской инфраструктуре, чтобы попытаться вызвать панику».
Рэй объяснил, что сложно определить цель предварительных кибератак и кибер-позиционирования, однако эта деятельность является частью более широкой стратегии, направленной на то, чтобы отговорить США от защиты Тайваня.
Предварительные атаки — это попытки проникнуть в критические системы для потенциального саботажа в будущем. Это отличается от традиционного кибершпионажа, мотивированного немедленной кражей данных или сбором разведданных.
Рэй добавил, что связанные с Китаем субъекты использовали в своей деятельности ряд ботнетов.
В декабре команда Black Lotus Labs в компании Lumen Technologies связала ботнет-маршрутизатор малого офиса/домашнего офиса (SOHO), отслеживаемый как KV-Botnet, с операциями связанного с Китаем Volt Typhoon. Ботнет состоит из двух взаимодополняющих друг друга кластеров. Эксперты полагают, что он активен как минимум с февраля 2022 года. Злоумышленники нацелены на периферийные сетевые устройства.
KV-Botnet состоит из продуктов с истекшим сроком эксплуатации, используемых устройствами SOHO. В начале июля и августе 2022 года исследователи заметили несколько маршрутизаторов Cisco RV320, DrayTek Vigor и NETGEAR ProSAFE, входивших в состав ботнета. Позже, в ноябре 2022 года, большую часть устройств, составляющих ботнет, составляли устройства ProSAFE и меньшее количество маршрутизаторов DrayTek. В ноябре 2023 года эксперты заметили, что ботнет начал атаковать IP-камеры Axis, такие как M1045-LW, M1065-LW и p1367-E.
Исследователи отметили, что использование KV-ботнета ограничено субъектами, связанными с Китаем. Пока что виктимология в первую очередь соответствует стратегическим интересам в Индо-Тихоокеанском регионе, эксперты отмечают, что основное внимание уделяется интернет-провайдерам и правительственным организациям.
Виктимология — изучение жертв преступлений. Междисциплинарная область исследований, раздел криминологии. Исследует виктимизацию, то есть процесс становления жертвой преступления, виктимность, а также меры сокращения и предупреждения потенциальных жертв преступлений.
Об авторе: Пьерлуиджи Паганини
Источник: https://securityaffairs.com/162037/security/china-hackers-attacks-us-critical-infrastructure.html
Китайские кибершпионы, судя по всему, достигли больших успехов.