США призывают компании и организации помочь искоренить китайскую хакерскую группу "Вольт Тайфун" из систем критической инфраструктуры.
Китайская хакерская группа, спонсируемая государством, успешно проникала в системы критической инфраструктуры США, а в некоторых случаях сохраняла доступ к ним более пяти лет, утверждают федеральные следователи.
Хакеры, получившие название "Вольт Тайфун", атаковали системы связи, энергетики, транспорта и канализации с целью вызвать хаос, если Китай столкнется с США во время крупного кризиса или конфликта.
"Американские агентства подтвердили, что Volt Typhoon скомпрометировал ИТ-среды множества организаций критической инфраструктуры", - заявили сегодня федеральные агентства.
Чтобы предупредить общественность о хакерской угрозе, ФБР, АНБ и Агентство кибербезопасности и защиты инфраструктуры (CISA) выпустили 45-страничный отчет с описанием тактики группы. Агентства надеются, что это поможет США искоренить Volt Typhoon из систем критической инфраструктуры.
"Мы находимся в критической точке для нашей национальной безопасности", - говорит директор CISA Джен Истерли. "Мы настоятельно рекомендуем всем организациям критической инфраструктуры изучить и выполнить действия, описанные в этих рекомендациях, и сообщать в CISA или ФБР о любых подозрениях в отношении Volt Typhoon или жизни за счет земли".
На прошлой неделе "Вольт Тайфун" попал в заголовки газет после того, как ФБР заявило, что ликвидировало ботнет, который китайская хакерская группа использовала для маскировки своей деятельности в США. В докладе, опубликованном в среду, добавляется, что "некоторые жертвы - это небольшие организации с ограниченными возможностями кибербезопасности, которые предоставляют критически важные услуги более крупным организациям или ключевым географическим точкам".
Группе удавалось так долго скрываться в американских сетях, полагаясь не столько на вредоносное ПО, сколько на тактику "жизни за счет земли", которая предполагает использование легитимных программных инструментов или захват действующих учетных записей в компании для осуществления проникновения. Группа также выбирает время для своих попыток проникновения, чтобы тщательно избегать предупреждений со стороны служб безопасности.
"Например, в некоторых случаях участники Volt Typhoon могли воздерживаться от использования скомпрометированных учетных данных в нерабочее время, чтобы не вызывать оповещения системы безопасности об аномальной активности учетной записи", - отмечается в отчете.
Зачастую основной целью Volt Typhoon является получение доступа к мощным учетным записям администраторов в сети. Получив доступ, хакеры не проявляют особой активности". "Эта оценка подтверждается наблюдаемыми схемами, в которых Volt Typhoon методично выбирает одни и те же организации в течение длительных периодов времени, часто охватывающих несколько лет, чтобы постоянно подтверждать и потенциально расширять свои несанкционированные доступы", - говорится в отчете.
Например, следователи заметили, что Volt Typhoon неоднократно похищал учетные данные домена одной из сетей-жертв в течение четырех лет, вероятно, для того, чтобы сохранить доступ. "В одном из подтвержденных случаев компрометации партнер по индустрии наблюдал, как участники Volt Typhoon регулярно сбрасывали учетные данные", - добавляется в отчете.
Если вам понравилась эта статья, подпишитесь на нее, чтобы не пропустить новые полезные статьи!
Также вы можете прочитать меня здесь:
- Telegram: https://t.me/gergenshin
- яндекс Дзен: https://dzen.ru/gergen
- официальный сайт: https://www-genshin.ru
