중국 국가 지원 행위자들이 미국의 중요한 인프라에 대한 접근을 획득하고 지속적으로 유지하고 있음

미국 정보 기관들, 즉 CISA, NSA, FBI는 중국 정부가 후원하는 사이버 공격자 집단인 Volt Typhoon이 미국의 중요 인프라 조직을 표적으로 삼고 있다는 것을 확인했습니다. Volt Typhoon은 통신, 에너지, 교통, 물 공급 시스템 등 다양한 분야의 IT 네트워크를 이미 침투했으며, 이는 주로 알려진 취약점이나 제로데이 공격을 통해 이루어졌습니다. 이 집단의 행동은 지리정치적 긴장이나 군사 충돌 시에 중요 인프라 조직의 운영 기술(OT) 자산에 대한 파괴적 공격을 위해 자리를 잡고 있는 것으로 보입니다. Volt Typhoon은 표적 환경에 맞게 전략을 수립하고 지속적인 접근을 유지하기 위해 광범위한 사전 탐색을 수행합니다. 또한 LOTL 기술과 강력한 운영 보안을 통해 지속적인 접근을 유지합니다. 그들은 관리자 자격 증명을 얻기 위해 권한을 상승시키고, 도메인 컨트롤러 및 기타 장치, 포함 OT 시스템에 대한 수평 이동을 허용합니다. Volt Typhoon은 LOTL 바이너리와 PowerShell을 사용하여 이벤트 로그 및 NTDS.dit 파일에서 민감한 데이터를 추출하며, 파일 잠금 메커니즘을 우회합니다. 그들은 오프라인 패스워드 크래킹을 사용하여 평문 패스워드를 얻고, 추가적인 침투와 탐색을 위한 상승된 접근을 허용합니다. Volt Typhoon은 HVAC 시스템 및 에너지 제어 시스템과 같은 OT 자산에 접근하고 조작할 수 있는 능력을 보여주었으며, 이는 중요 인프라에 잠재적인 위협을 가집니다. 국제 파트너들은 각국의 인프라에 대한 위협이 낮지만 미국 인프라의 중단으로 인해 영향을 받을 수 있다고 평가합니다. 중요 인프라 조직은 사고를 예방하거나 대응하기 위해 완충 조치를 구현하고 악의적인 활동을 탐색해야 합니다.