Вольт Тайфун
Постоянная угроза, исходящая от китайского правительства
Вольт Тайфун
Формирование2021 или ранее
ТипПостоянная угроза повышенной сложности
ЦельКибервойна
Расположение
Принадлежностькитайское правительство

Volt Typhoon (также известный как VANGUARD PANDA, BRONZE SILHOUETTE , Redfly , Insidious Taurus , Dev-0391, Storm-0391 , UNC3236 или VOLTZITE ) — это продвинутая постоянная угроза, занимающаяся кибершпионажем , как сообщается, в интересах Китайской Народной Республики . Группа действует по крайней мере с середины 2021 года и, как известно, в первую очередь нацелена на критически важную инфраструктуру Соединенных Штатов . [1] [2] Volt Typhoon фокусируется на шпионаже, краже данных и доступе к учетным данным. [3]

По данным Microsoft , группа делает все возможное, чтобы избежать обнаружения, и ее кампании отдают приоритет возможностям, которые позволяют Китаю саботировать критически важную инфраструктуру связи между США и Азией во время потенциальных будущих кризисов. [3] Правительство США считает, что цель группы — замедлить любую потенциальную военную мобилизацию США , которая может последовать за китайским вторжением на Тайвань . [4] Китайское правительство отрицает существование группы. [5] [6]

Имена

Volt Typhoon — это название, которое в настоящее время присвоено группе корпорацией Microsoft, и это наиболее широко используемое название группы. Группа также упоминалась по-разному: [7]

  • Dev-0391 (изначально от Microsoft)
  • Storm-0391 (изначально от Microsoft)
  • БРОНЗОВЫЙ СИЛУЭТ ( Secureworks , дочерняя компания Dell )
  • Коварный Телец (от Palo Alto Networks Unit 42)
  • Redfly (от Gen Digital , ранее Symantec)
  • UNC3236 (от Mandiant , дочерней компании Google )
  • АВАНГАРД ПАНДА ( CrowdStrike )
  • ВОЛЬТЗИТ (Драгос) [8]

Методология

Согласно совместной публикации всех агентств кибербезопасности и разведки сигналов Five Eyes , основные тактики, методы и процедуры Volt Typhoon (TTP) включают жизнь за пределами земли, использование встроенных инструментов сетевого администрирования для выполнения своих задач и встраивание в обычную систему Windows и сетевую деятельность. Эта тактика позволяет избежать программ обнаружения и реагирования конечных точек (EDR), которые предупреждают о внедрении сторонних приложений на хост, и ограничивает объем активности, зафиксированной в конфигурациях журналирования по умолчанию. Некоторые из встроенных инструментов, используемых Volt Typhoon: wmic , ntdsutil, netsh и Powershell . [9]

Группа изначально использует вредоносное программное обеспечение, которое проникает в системы, подключенные к Интернету, используя такие уязвимости, как слабые пароли администратора, заводские логины по умолчанию и устройства, которые не обновлялись регулярно. [10] Получив доступ к цели, они уделяют большое внимание скрытности, почти исключительно полагаясь на методы жизни вне земли и ручную работу с клавиатурой. [10]

Volt Typhoon редко использует вредоносное ПО в своей деятельности после взлома. Вместо этого они отправляют команды через командную строку , чтобы сначала собрать данные, включая учетные данные из локальных и сетевых систем, поместить данные в архивный файл для подготовки к эксфильтрации, а затем использовать украденные действительные учетные данные для поддержания устойчивости. [3] [11] Некоторые из этих команд кажутся исследовательскими или экспериментальными, поскольку операторы корректируют и повторяют их несколько раз. Кроме того, Volt Typhoon пытается вписаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование малого и домашнего офиса, включая маршрутизаторы, брандмауэры и оборудование VPN . [12] Также было замечено, что они используют пользовательские версии инструментов с открытым исходным кодом для установления канала управления и контроля (C2) через прокси-сервер , чтобы оставаться скрытыми. [3] [10]

Во многих отношениях Volt Typhoon функционирует аналогично традиционным операторам ботнетов , захватывая под контроль уязвимые устройства, такие как маршрутизаторы и камеры безопасности, чтобы спрятаться и создать плацдарм перед использованием этой системы для запуска будущих атак. Работая таким образом, защитникам кибербезопасности сложно точно определить источник атаки. [10]

По данным Secureworks (подразделения Dell ), интерес Volt Typhoon к операционной безопасности «вероятно, возник из-за смущения, вызванного громкими обвинениями США [китайских хакеров, поддерживаемых государством] и возросшим давлением со стороны китайского руководства, стремящегося избежать общественного внимания к его кибершпионской деятельности». [13]

По словам исследователя кибербезопасности Райана Шерстобитова, «в отличие от злоумышленников, которые исчезают после обнаружения, этот противник зарывается еще глубже, когда его раскрывают» [14] .

Известные кампании

Нападения на ВМС США

Правительство США неоднократно обнаруживало активность в системах в США и Гуаме , предназначенных для сбора информации о критически важной инфраструктуре и военном потенциале США, но Microsoft и агентства заявили, что эти атаки могут быть подготовкой к будущей атаке на критически важную инфраструктуру США. [3]

Взлом Singtel

В июне 2024 года Singtel подвергся атаке Volt Typhoon. [15] После сообщения Bloomberg News в ноябре 2024 года Singtel ответил, что он «уничтожил» вредоносное ПО, представляющее угрозу. [16]

Разрушение

В январе 2024 года ФБР объявило, что оно прервало деятельность Volt Typhoon, проведя санкционированные судом операции по удалению вредоносного ПО с маршрутизаторов жертв в США и приняв меры по предотвращению повторного заражения. [17]

Ответ из Китая

Китайское правительство отрицало какую-либо причастность к Volt Typhoon и заявило, что Volt Typhoon — это дезинформационная кампания американских спецслужб, сообщают государственное информационное агентство Синьхуа и Национальный центр реагирования на чрезвычайные ситуации с компьютерными вирусами Китая (CVERC). [5] [6]

Ссылки

  1. ^ «Китайские хакеры глубоко проникли в телекоммуникационные сети Америки» . The Economist . 12 декабря 2024 г. ISSN  0013-0613 . Получено 13 декабря 2024 г.
  2. ^ Мэнсон, Катрина (2025-01-03). «Худшие опасения США по поводу китайского взлома проявляются на Гуаме». Bloomberg News . Архивировано из оригинала 2025-01-03 . Получено 2025-01-08 .
  3. ^ abcde "Volt Typhoon атакует критически важную инфраструктуру США с помощью технологий, не имеющих отношения к земле". Microsoft . 2023-05-24. Архивировано из оригинала 2024-01-17 . Получено 2024-10-09 .
  4. ^ Антонюк, Дарина (2024-08-27). «Китайский Volt Typhoon, как сообщается, нацелен на американских интернет-провайдеров, использующих Versa нулевого дня». Записано Future . Архивировано из оригинала 2024-09-17 . Получено 2024-10-09 .
  5. ^ ab "Отчет раскрывает новые заговоры, стоящие за дезинформационной кампанией США "Volt Typhoon"". Агентство новостей Синьхуа . 2024-10-15 . Получено 2024-10-14 .
  6. ^ ab Martin, Alexander (11 июля 2024 г.). «Китайское киберагентство обвиняется в «ложных и безосновательных» заявлениях о вмешательстве США в исследования Volt Typhoon». therecord.media . Recorded Future . Архивировано из оригинала 2024-10-09 . Получено 2024-10-29 .
  7. ^ "Volt Typhoon (Threat Actor)". Fraunhofer Society . Получено 2024-10-09 .
  8. ^ Ханрахан, Джош (2024-02-13). "Шпионские операции VOLTZITE, нацеленные на критически важные системы США". Драгос . Архивировано из оригинала 2024-09-26 . Получено 2024-10-14 .
  9. ^ «Спонсируемый государством киберпреступник Китайской Народной Республики, живущий за счет земли, чтобы избежать обнаружения». Агентство кибербезопасности и безопасности инфраструктуры . 2023-05-24 . Получено 2024-10-09 .
  10. ^ abcd Форно, Ричард (2024-04-01). «Что такое Volt Typhoon? Эксперт по кибербезопасности объясняет, как китайские хакеры атакуют критически важную инфраструктуру США». Мэрилендский университет, округ Балтимор . Архивировано из оригинала 2024-07-14 . Получено 2024-10-09 .
  11. ^ "Volt Typhoon: спонсируемый государством китайский субъект нацеливается на критически важную инфраструктуру". Secure Blink . 2023-06-05. Архивировано из оригинала 2024-03-01 . Получено 2024-10-09 .
  12. ^ Paing Htun, Phyo; Kimura, Ai; Srinivasan, Manikantan; Natarajan, Pooja (28.03.2024). "Volt Typhoon, BRONZE SILHOUETTE, Group G1017". Mitre Corporation . Архивировано из оригинала 17.09.2024 . Получено 09.10.2024 .
  13. ^ Пирсон, Джеймс; Саттер, Рафаэль (19.04.2024). Беркрот, Билл (ред.). «Что такое Volt Typhoon, китайская хакерская группа, которая, как предупреждает ФБР, может нанести «сокрушительный удар»?». Reuters .
  14. ^ Сабин, Сэм (12 ноября 2024 г.). «Растущая угроза китайского тайфуна Вольт». Axios . Получено 12 ноября 2024 г.
  15. ^ Робертсон, Джордан; Мэнсон, Катрина (2024-11-05). «Китайская группа обвиняется во взломе Singtel в телекоммуникационных атаках». Bloomberg News . Получено 2024-11-05 .
  16. ^ «Singtel обнаружила и «уничтожила» вредоносное ПО, предположительно, от китайской хакерской группы». CNA . 5 ноября 2024 г. Архивировано из оригинала 2024-11-06 . Получено 2024-11-05 .
  17. ^ "Правительство США пресекло деятельность ботнета, который Китайская Народная Республика использовала для сокрытия взлома критически важной инфраструктуры". Министерство юстиции США . 2024-01-31. Архивировано из оригинала 2024-10-07 . Получено 2024-10-09 .
Взято с "https://en.wikipedia.org/w/index.php?title=Volt_Typhoon&oldid=1269599232"