Актеры, спонсируемые государством КНР, компрометируют и поддерживают постоянный доступ к критической инфраструктуре США

Агентства США, включая CISA, NSA и FBI, определили, что китайские государственные киберакторы, известные как Volt Typhoon, нацелены на критическую инфраструктуру организаций в США. Volt Typhoon скомпрометировали сети ИТ в секторах, таких как связи, энергетика, транспорт и системы водоснабжения, в основном через известные уязвимости или эксплоиты нулевого дня. Поведение группы свидетельствует о том, что они позиционируют себя для деструктивных или разрушительных атак на активы OT во время геополитических напряжений или военных конфликтов. Volt Typhoon проводит обширную разведку до эксплуатации, чтобы адаптировать свои тактики к целевой среде и mantener постоянный доступ через техники LOTL и сильную оперативную безопасность. Они часто эскалируют привилегии, чтобы получить административные учетные данные, что позволяет им перемещаться по сети к контроллерам домена и другим устройствам, включая системы OT. Volt Typhoon использует бинарные файлы LOTL и PowerShell, чтобы извлечь чувствительные данные из журналов событий и файла NTDS.dit, обходя механизмы блокировки файлов. Они используют офлайн-расшифровку паролей, чтобы получить открытые текстовые пароли и повышенный доступ для дальнейшего проникновения и обнаружения. Volt Typhoon продемонстрировали способность доступа и манипулирования активами OT, такими как системы вентиляции и управления энергией, что представляет потенциальную угрозу критической инфраструктуре. Международные партнеры оценивают, что угроза инфраструктуре в их странах является ниже, но может быть затронута при нарушении инфраструктуры США. Организациям критической инфраструктуры рекомендуется реализовать меры предосторожности и поиск злонамеренной активности, чтобы предотвратить или реагировать на инциденты.