A kínai Volt Typhoon hackerei öt éven keresztül „előpozícionálták” a kritikus amerikai infrastruktúra elleni kibertámadásokat
A kiberbiztonsági környezetet megrázták a Volt Typhoon, egy kínai államilag támogatott hackercsoport titkos tevékenységével kapcsolatos leleplezések. Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) közelmúltbeli tanácsa szerint a Volt Typhoon számos kritikus infrastrukturális szervezetbe beszivárgott az Egyesült Államokon és területein, köztük Guamban is.
A hagyományos kiberkémkedési taktikáktól eltérően a Volt Typhoon tevékenysége úgy tűnik, hogy az informatikai hálózatokon belüli előzetes pozicionálására összpontosít, ami potenciálisan megnyitja az utat az operatív technológiai (OT) eszközöket célzó bomlasztó akciókhoz.
A CISA tanácsa hangsúlyozza a helyzet súlyosságát, és arra buzdítja a védőket, hogy proaktívan keressenek és szüntessenek meg a hackerek által hátrahagyott rosszindulatú programokat. Az ügynökség részletes technikai útmutatást is adott az ilyen fenyegetések elleni védekezés megerősítéséhez. Különös aggodalomra ad okot az a feltárás, hogy a Volt Typhoon szereplői akár öt évig is fenntartották a hozzáférést egyes áldozati hálózatokhoz, ami félelmet kelt az esetleges bomlasztó akcióktól geopolitikai feszültségek vagy katonai konfliktusok idején.
A helyzet sürgősségét tovább fokozták az Egyesült Államok Igazságügyi Minisztériumának közelmúltbeli lépései a Volt Typhoon által titkos kommunikációra használt botnet felszámolására. Ez a Cisco és Netgear útválasztókból álló botnet csatornaként szolgált a rosszindulatú tevékenységekhez, és hangsúlyozta a csoport azon képességét, hogy rejtetten működjön a célzott hálózatokon belül.
John Hultquist, a Mandiant Intelligence – Google Cloud vezető elemzője kiemelte a helyzet súlyosságát, hangsúlyozva, hogy a Volt Typhoon az operatív technológiai rendszerekbe való beszivárgásra és az azokból való információgyűjtésre összpontosít. Az ilyen rendszerek, amelyek a kritikus infrastruktúra működésének szerves részét képezik, potenciálisan manipulálhatók széles körű zavarok vagy akár veszélyes állapotok előidézése érdekében.
Ezek a fejlemények éles emlékeztetőül szolgálnak a kiberfenyegetések változó természetére és arra, hogy robusztus kiberbiztonsági intézkedésekre van szükség a kritikus infrastruktúra védelme érdekében az olyan kifinomult ellenfelektől, mint a Volt Typhoon.