CISA, NSA, FBI i kilka innych agencji w USA i na świecie ostrzegły liderów infrastruktury krytycznej, aby chronili swoje systemy przed chińską grupą hakerską Volt Typhoon.

Wraz z NSA, FBI, innymi agencjami rządowymi USA i partnerskimi agencjami ds. cyberbezpieczeństwa Five Eyes, w tym agencjami ds. cyberbezpieczeństwa z Australii, Kanady, Wielkiej Brytanii i Nowej Zelandii, wydała także wskazówki dotyczące obronności dotyczące wykrywania i obrony przed atakami Volt Typhoon.

W zeszłym miesiącu ostrzegli również, że chińscy hakerzy włamali się do wielu amerykańskich organizacji zajmujących się infrastrukturą krytyczną i utrzymywali dostęp do co najmniej jednej z nich przez co najmniej pięć lat, zanim zostali wykryci.

Władze zaobserwowały, że cele i taktyka grupy cyberszpiegowskiej Volt Typhoon różnią się od typowych działań, co sugeruje, że jej celem jest uzyskanie dostępu do zasobów technologii operacyjnej (OT) w sieciach, które można wykorzystać do zakłócania infrastruktury krytycznej.

Władze USA obawiają się, że ta chińska grupa może wykorzystać taki dostęp do dalszego zakłócania infrastruktury krytycznej i powodowania zakłóceń podczas konfliktów zbrojnych lub napięć geopolitycznych.

CISA i partnerskie agencje rządowe USA (w tym Departament Energii, Agencja Ochrony Środowiska, Administracja Bezpieczeństwa Transportu i Departament Skarbu) doradziły liderom infrastruktury krytycznej, aby wzmocnili swoje zespoły ds. cyberbezpieczeństwa w zakresie podejmowania świadomych decyzji dotyczących zasobów i zabezpieczania łańcucha dostaw i upewnić się, że wyniki zarządzania wydajnością są zgodne z celami cybernetycznymi organizacji.

„Kluczowe najlepsze praktyki dla zespołów ds. cyberbezpieczeństwa obejmują włączenie rejestrowania, w tym na potrzeby dostępu i bezpieczeństwa, w aplikacjach i systemach oraz przechowywanie dzienników w systemie centralnym. Solidne rejestrowanie jest niezbędne do wykrywania i ograniczania warunków życia poza ziemią” – wspólne wytyczne mówią [PDF].

„Zapytaj swoje zespoły IT, jakie dzienniki prowadzą, ponieważ niektóre dzienniki ujawniają polecenia (o których mowa w umowie CSA) używane przez aktorów Volt Typhoon. Jeśli Twoje zespoły IT nie mają odpowiednich dzienników, zapytaj, jakich zasobów mogą potrzebować, aby skutecznie wykryć naruszenia”.

Volt Typhoon, również oznaczony jako Brązowa Sylwetka, atakuje i narusza amerykańskie organizacje zajmujące się infrastrukturą krytyczną co najmniej od połowy 2021 r.

Podczas swoich ataków chińscy hakerzy korzystali także z botnetu składającego się z setek małych biur/biur domowych (SOHO) w całych Stanach Zjednoczonych (nazwanego botnetem KV) podczas swoich ataków, aby ukryć swoją złośliwą aktywność i uniknąć wykrycia.

FBI przerwało działanie botnetu KV grupy w grudniu, ale hakerom nie udało się go odbudować po tym, jak laboratorium Black Lotus Labs firmy Lumen zatopiło pozostałe serwery C2 i ładunki.

Po demontażu botnetu KV CISA i FBI nalegały, aby producenci routerów SOHO zabezpieczyli swoje urządzenia przed atakami Volt Typhoon, stosując bezpieczne domyślne ustawienia konfiguracji i eliminując błędy interfejsu zarządzania siecią na etapie opracowywania.