Китай готовит масштабное вторжение в критическую инфраструктуру США

Китайская шпионская группировка Volt Typhoon проникла в сеть служб экстренного реагирования крупного американского города в целях разведки американских телекоммуникаций. Об этом сообщает ИБ-компания Dragos в своем отчете.

С начала 2023 года группа также проводила разведку и перечисление данных нескольких американских электроэнергетических компаний, а недавно внимание шпионов было направлено на службы управления чрезвычайными ситуациями, включая телекоммуникации и спутниковые службы.

Dragos подчеркнула стратегическую значимость выбранных целей, указывая на их важность для национальной инфраструктуры США. Такие объекты имеют стратегическую ценность для противника, стремящегося нанести ущерб или парализовать инфраструктуру США.

Помимо проникновений в цифровые системы в США, китайские шпионы также нацелились на организации по передаче и распределению электроэнергии в Африке, континенте, который вызывает большой интерес у Китая.

В одном из случаев, когда группа Volt Typhoon проникла в IT-сеть американской электроэнергетической компании, шпионам удалось оставаться незамеченными более 300 дней. Они активно пытались получить доступ к сети операционных технологий и предпринимали все возможные действия для проникновения в сети управления электроэнергией.

Хотя прямой доступ к сети операционных технологий получить не удалось, но киберпреступники смогли украсть данные геоинформационных систем, которые могут быть полезны для будущих дестабилизирующих атак.

В ходе атак среди скомпрометированных устройств и ПО оказались Fortinet FortiGuard, PRTG Network Monitor, ManageEngine ADSelfService Plus, FatePipe WARP, Ivanti Connect Secure VPN и Cisco ASA. После получения доступа к IT-сетям жертв, обычно через уязвимые маршрутизаторы или VPN-шлюзы, злоумышленники использовали техники Living off the Land ( LotL-атака ) и украденные учетные данные для перемещения по сети.

Стоит отметить, что уже в начале февраля федеральные агентства США предупредили, что Volt Typhoon находится в некоторых сетях критической инфраструктуры страны не менее 5 лет. Целями злоумышленников стали секторы связи, энергетики, транспорта, систем водоснабжения и канализации в США и на острове Гуам. Деятельность хакеров не соответствовала традиционным целям киберразведки и сбора данных. Агентства с большой долей уверенности утверждают, что Volt Typhoon готовила почву для возможных диверсий.

Кроме того, по данным CrowdStrike, хакеры Volt Typhoon проводят обширную предварительную разведку, чтобы изучить целевую организацию и её окружение. Затем они адаптируют свои инструменты и методы под конкретную инфраструктуру жертвы и посвящают значительные ресурсы поддержанию скрытного присутствия. Группировка ориентирована лишь на узкий круг целей, но при этом тщательно готовит и проводит атаки. Этот методичный подход подтверждается многочисленными случаями повторного взлома одних и тех же организаций с целью расширения несанкционированного доступа.