Statele Unite și aliații săi occidentali au acuzat miercuri un "actor cibernetic" sponsorizat de China că se infiltrează discret în "infrastructura critică" americană și au avertizat că alte campanii similare ar putea avea loc în întreaga lume.

Într-un aviz comun, autoritățile de securitate cibernetică din Statele Unite, Canada, Marea Britanie, Australia și Noua Zeelandă au avertizat cu privire la un "grup de activități" rău intenționat asociat cu "un actor cibernetic sponsorizat de stat al Republicii Populare Chineze, cunoscut și ca Volt Typhoon".

"Această activitate afectează rețelele sectoarelor de infrastructură critică ale Statelor Unite", iar entitatea care efectuează atacul "ar putea aplica aceleași tehnici (...) în întreaga lume", au adăugat acestea.

Într-un comunicat separat, grupul american Microsoft a explicat că "Volt Typhoon" este activ de la jumătatea anului 2021 și că a vizat, printre altele, infrastructura esențială de pe insula Guam, care găzduiește o bază militară americană importantă din Oceanul Pacific. Această campanie riscă "să perturbe infrastructura critică de comunicații dintre Statele Unite și regiunea asiatică în timpul unor crize viitoare", a avertizat Microsoft.

Campania vizează "sectoarele de comunicații, industrie, utilități, transport, construcții, maritim, guvern, tehnologia informației și educație", a continuat grupul de tehnologie american.

"Comportamentul observat sugerează că actorul amenințării intenționează să asculte și să mențină accesul la infrastructură nedetectat cât mai mult timp posibil", a spus el.

Potrivit agențiilor de securitate occidentale, aceste atacuri folosesc în special așa-numita tactică "Living off the land" (LotL), prin care atacatorul folosește caracteristicile și instrumentele sistemului pe care îl țintește pentru a pătrunde în interior fără a lăsa urme.

În special, atacatorul poate folosi instrumente administrative legitime pentru a intra în sistem și pentru a introduce scripturi sau coduri rău intenționate. Acest tip de intruziune este mult mai eficientă decât cele care folosesc programe malware, care sunt mai ușor de detectat.

Potrivit Microsoft, Volt Typhoon încearcă să se integreze cu activitatea normală a rețelei prin direcționarea traficului prin echipamentele de rețea infectate din întreprinderile mici și lucrătorii la distanță, inclusiv routere, firewall-uri și rețele private virtuale (VPN). "Au fost observate și versiuni personalizate de instrumente open-source", a declarat Microsoft.

Directorul Agenției SUA pentru Securitate Cibernetică și Securitate a Infrastructurii, Jen Easterly, a emis, de asemenea, un avertisment împotriva lui Volt Typhoon. "De ani de zile, China a desfășurat operațiuni în întreaga lume pentru a fura proprietăți intelectuale și date sensibile de la organizațiile cu infrastructură critică", a spus doamna Easterly.

"Avizul lansat astăzi, împreună cu partenerii noștri americani și internaționali, arată că China folosește mijloace foarte sofisticate pentru a viza infrastructura critică a națiunii noastre", a continuat ea. În opinia sa, această notificare "va permite apărătorilor rețelei să înțeleagă mai bine cum să detecteze și să atenueze această activitate rău intenționată".

China nu a reacționat imediat la aceste acuzații. Beijingul neagă în mod regulat că efectuează sau sponsorizează atacuri cibernetice și, în schimb, acuză Statele Unite de spionaj cibernetic împotriva sa. China și Rusia au vizat de mult infrastructura critică, dar Volt Typhoon a oferit o perspectivă asupra modus operandi al hackingului chinezesc, a declarat John Hultquist, analist la firma americană de securitate cibernetică Mandiant.

"Actorii chinezi ai amenințărilor cibernetice sunt unici printre colegii lor, prin faptul că nu recurg în mod obișnuit la atacuri cibernetice distructive și perturbatoare", a spus el. Potrivit acestuia, divulgarea de către țările occidentale a acțiunilor lui Volt Typhoon "reprezintă o oportunitate rară de a investiga și de a se pregăti pentru această amenințare".

Sursa: RADOR