Five Eyes-landen: Chinese staatshackers nemen kritieke infrastructuur VS op de korrel

De aanvallers zijn naar verluid sinds medio 2021 actief. Het gaat om een groepering die steun krijgt vanuit de Chinese overheid, melden de security-agentschappen. De groepering richt zich concreet op spionage en het verzamelen van gegevens. Techbedrijf Microsoft merkte zogeheten Indicators of Compromise (IoC's) op, die uiteindelijk tot de ontdekking van de activiteiten van de groepering leidde.

Kritieke communicatie-infrastructuur verstoren

Microsoft stelt op basis van een analyse van de groepering dat met 'enige zekerheid' gezegd kan worden dat de campagne van Volt Typhoon gericht is op het ontwikkelen van mogelijkheden voor het verstoren van kritieke communicatie-infrastructuur in de Verenigde Staten (VS) en Azië tijdens toekomstige crisissituaties.

Rob Joyce, directeur van de Amerikaanse NSA, omschrijft de werkwijze van de aanvallers als 'living off the land'. De aanvallers maken hierbij gebruik van legitieme netwerktools en proberen legitieme inloggegevens in handen te krijgen, in een poging detectie te voorkomen en geen sporen achter te laten. Joyce noemt het noodzakelijk dat security-agentschappen samenwerken voor het detecteren van verwijderen van de actor van kritieke netwerken.

Onopgemerkt blijven

Ook Microsoft wijst erop dat Volt Typhoon zijn activiteiten ongemerkt wil laten blijven, met als doel langere tijd op netwerken aanwezig te kunnen zijn. Zo probeert het onder meer in regulier netwerkverkeer op te gaan, onder meer door kleine kantoren aan te vallen en netwerkverkeer via deze partijen te leiden. Denk echter ook aan het aanvallen van netwerkapparatuur, zoals routers, firewalls en VPN-hardware.

De groep zou al diverse infrastructuur in de VS hebben aangevallen, waarbij het onder meer gaat om infrastructuur in Guam. De VS beschikken hier over een luchtmachtbasis en marinehaven, die beide een grote rol spelen bij de aanwezigheid van de VS in de Stille Oceaan.

'Opgaan in het achtergrondgeluid'

Toby Lewis, Global Head of Threat Analysis bij Darktrace, meldt in een reactie: "Dit is een geweldig rapport, waarin vakmanschap wordt benadrukt dat we nu consistent zien met een hele reeks dreigingsgroepen, ongeacht hun motivatie. Het wijdverbreide gebruik van zogenaamde 'living off the land'-technieken vertegenwoordigt de wens van bedreigingsactoren om op te gaan in het achtergrondgeluid van de omgeving waarin ze actief zijn, zonder het mogelijk luidruchtige gebruik van malware en andere hacktools die beter detecteerbaar zouden kunnen zijn door traditionele antivirus en benaderingen met behulp van regels en handtekeningen."

"De bedoeling is om in de ruis van netwerkmonitoring te werken, met behulp van tooling die a) al aanwezig en standaard geïnstalleerd is; en b) vaak gebruikt door de legitieme systeembeheerdersteams voor hun eigen rollen. Dit maakt het ongelooflijk moeilijk om simpelweg te waarschuwen voor het algemene bestaan ​​van de tool, die duidelijk zou worden geactiveerd via hun eigen IT-activiteiten."

Lewis vervolgt: "Deze technieken zijn ontworpen om verouderde beveiligingstools te omzeilen, die werken vanuit een kennisbank van 'bekende' kwaadwillenden. Het detecteren van deze aanvallen vereist technologie zoals AI die uw gegevens begrijpt en het unieke profiel van hoe legitieme beheerders de in het rapport vermelde tools daadwerkelijk gebruiken. Alleen met dit unieke begrip van gebruikersgedrag kunnen organisaties de subtiele signalen identificeren dat een bedreigingsactor het toetsenbord in handen heeft in plaats van het IT-team."