Un ”actor cibernetic” sprijinit de China s-a infiltrat în rețelele de infrastructură critice din Statele Unite, au susținut miercuri Washingtonul, aliații occidentali și Microsoft, atrăgând atenția că ar putea avea loc campanii similare în întreaga lume, anunță AFP, citat de Agerpres.
Într-un comunicat comun, autoritățile însărcinate cu securitatea cibernetică în Statele Unite, Canada, Regatul Unit, Australia şi Noua Zeelandă au descoperit ”o activitate malițioasă ascunsă și țintită” efectuat de ”un actor sponsorizat de stat cu sediul în China care se concentrează în mod obișnuit pe spionaj și colectarea de informații”, cunoscut şi sub numele de ”Volt Typhoon”.
”Această activitate afectează reţelele unor sectoare de infrastructură critice ale Statelor Unite”, iar entitatea care desfăşoară atacul ”ar putea aplica aceleaşi tehnici (…) la nivel mondial”, au adăugat acestea.
Microsoft atrage atenția că ”Volt Typhoon este activ de la jumătatea anului 2021 și a vizat organizații cu infrastructuri critice din Guam și din alte părți ale Statelor Unite”.
”În această campanie, organizațiile afectate acoperă sectoarele comunicațiilor, producției, utilităților, transporturilor, construcțiilor, construcțiilor, maritim, guvernamental, tehnologiei informației și educației. Comportamentul observat sugerează că actorul amenințător intenționează să efectueze spionaj și să mențină accesul fără a fi detectat cât mai mult timp posibil”, a explicat compania.
Pentru a-și atinge obiectivul, ”actorul malițios pune un accent puternic pe caracterul invizibil al acestei campanii, bazându-se aproape exclusiv pe tehnici de supraviețuire în afara terenului și pe activități practice la tastatură”.
Microsoft explică că aceștia emit comenzi prin linia de comandă pentru (1) a colecta date, inclusiv acreditările din sistemele locale și de rețea, (2) a pune datele într-un fișier de arhivă pentru a le pregăti pentru extragere și apoi (3) a utiliza acreditările valide furate pentru a menține caracterul de continuitate.
În plus, Volt Typhoon ”încearcă să se amestece în activitatea normală a rețelei prin direcționarea traficului prin intermediul echipamentelor de rețea compromise pentru birouri mici și de uz casnic (SOHO), inclusiv routere, firewall-uri și hardware VPN”, detaliază compania.
De asemenea, ”au fost observați folosind versiuni personalizate ale unor instrumente open-source pentru a stabili un canal de comandă și control (C2) prin proxy pentru a rămâne și mai mult sub radar”.
