中国国家が後援するアクターが米国の基幹インフラを侵害し、恒久的なアクセスを維持する

米国の機関、CISA、NSA、FBIを含む、が中国の国家が後ろ盾とするサイバー攻撃者グループ「Volt Typhoon」が米国の基幹インフラストラクチャー組織を標的にしていると特定しました。 Volt Typhoonは、通信、エネルギー、輸送、水道システムなどの分野のITネットワークを、既知の脆弱性やゼロデイ・エクスプロイトを通じて侵害しています。 このグループの行動は、地政学的な緊張や軍事的な衝突が生じる際にOT資産に対する破壊的な攻撃を遂行する準備を整えていることを示唆しています。 Volt Typhoonは、標的環境に合わせて戦術をカスタマイズし、LOTL技術と堅牢な運営的なセキュリティを維持するために、徹底的な予備調査を行います。 彼らは、管理者資格情報を取得するために特権を上昇させ、ドメイン・コントローラーや他のデバイス、OTシステムを含むラテラル・ムーブメントを遂行します。 Volt Typhoonは、イベント・ログとNTDS.ditファイルから機密情報を抽出するために、LOTLバイナリーとPowerShellを使用し、ファイル・ロッキング・メカニズムを回避します。 彼らは、さらなる浸透と発見のために、オフライン・パスワード・クラッキングを使用して平文パスワードと上昇されたアクセスを取得します。 Volt Typhoonは、HVACシステムやエネルギー・コントロールなどのOT資産にアクセスし、操作する能力を示し、米国の基幹インフラストラクチャーに対する潜在的な脅威を呈しています。 国際的なパートナーは、米国の基幹インフラストラクチャーが影響を受けることで、自国の基幹インフラストラクチャーが影響を受ける可能性が低いが、米国の基幹インフラストラクチャーが影響を受けることで影響を受ける可能性があると評価しています。 基幹インフラストラクチャー組織は、事件を防ぐか対応するために、緩和策を実施し、悪意のある活動を捜査することを強く勧められています。