Hacker Cinesi Individuati nell’Infrastruttura Critica USA per 5 Anni: Rivelazioni
Il governo degli Stati Uniti ha reso noto mercoledì che il gruppo di hacking sponsorizzato dallo stato cinese noto come Volt Typhoon era infiltrato in alcune reti dell’infrastruttura critica del paese da almeno cinque anni.
I bersagli degli attori minacciosi includono settori quali comunicazioni, energia, trasporti, nonché sistemi di acqua e di acque reflue negli Stati Uniti e a Guam.
“La scelta dei bersagli di Volt Typhoon e il modello di comportamento non sono coerenti con le tradizionali operazioni di spionaggio cibernetico o raccolta di informazioni, e le agenzie statunitensi autrici valutano con alta fiducia che gli attori di Volt Typhoon si stanno pre-posizionando su reti IT per abilitare lo spostamento laterale verso asset OT per interrompere le funzioni,” ha dichiarato il governo statunitense.
L’advisory congiunto, pubblicato dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla National Security Agency (NSA) e dal Federal Bureau of Investigation (FBI), ha ottenuto anche il sostegno di altre nazioni facenti parte dell’Alleanza delle Cinque Occhi (FVEY), che comprende Australia, Canada, Nuova Zelanda e Regno Unito.
Volt Typhoon – noto anche come Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda o Voltzite – è un gruppo di cibercriminali cinesi che opera con discrezione e si ritiene attivo dal giugno 2021.
È emerso per la prima volta nel maggio 2023 quando Microsoft ha rivelato che la squadra di hacking era riuscita a stabilire una presenza persistente in organizzazioni dell’infrastruttura critica negli Stati Uniti e a Guam per periodi prolungati senza essere rilevata, principalmente sfruttando tecniche di “living off the land” (LotL).
Un’altra tattica distintiva adottata da Volt Typhoon è l’uso di proxy multi-hop come KV-botnet per instradare il traffico malevolo attraverso una rete di router e firewall compromessi negli Stati Uniti per mascherare le sue vere origini.
La società di sicurezza informatica CrowdStrike, in un rapporto pubblicato nel giugno 2023, ha evidenziato la loro dipendenza da un vasto arsenale di strumenti open source contro un ristretto numero di vittime per raggiungere i propri obiettivi strategici.
Il loro obiettivo finale è quello di mantenere l’accesso agli ambienti compromessi, “metodicamente” riprendendoli nel corso degli anni per convalidare ed espandere i loro accessi non autorizzati. Questo approccio meticoloso, secondo le agenzie, è evidente nei casi in cui hanno ripetutamente esfiltrato credenziali di dominio per garantire l’accesso a account correnti e validi.
Inoltre, lo stato ha cercato di ottenere credenziali di amministratore all’interno della rete sfruttando difetti di escalation dei privilegi, successivamente sfruttando l’accesso elevato per facilitare lo spostamento laterale, la ricognizione e il compromesso completo del dominio.
L’articolo continua a discutere del contesto politico e delle implicazioni delle azioni cinesi, nonché delle misure che possono essere adottate per mitigare questa minaccia crescente.