Kínai támogatással dolgozó hekkerek kritikus amerikai infrastruktúrákhoz igyekeznek hozzáférést szerezni azzal a távlati céllal, hogy szükség esetén pusztító kibertámadásokat indíthassanak ellenük – olvasható az NSA, a CISA és az FBI szerdán kiadott közös figyelmeztetésében, amelyben brit, kanadai, ausztrál és új-zélandi kormnyányzati szervezetek megfigyeléseire is hivatkoznak. Az ügynökségek szerint a kínai székhelyű, államilag szponzorált Volt Typhoon hekkercsoport például legalább öt éven keresztül tartott fenn hozzáférést meg nem nevezett kommunikációs, közlekedési, energiaipari, illetve víz- és szennyvízhálózat-üzemeltető szervezetek rendszereihez.

Ez a közlemény alapján stratégiai irányváltást jelent a már hagyományosnak tekintett kiberkémkedéshez és hírszerzési műveletekhez képest, amennyiben Kína igyekszik úgy pozicionálni magát, hogy egy nagyobb válság esetén összeomlást okozhasson a fenti rendszereket működtető technológiákban. A beszámolók kiemelik, hogy az FBI igazgatója, Christopher Wray egy képviselőházi bizottsági meghallgatáson nemrégiben "nemzedékünk meghatározó fenyegetésének" nevezte a kínai kiberfenyegetést, külön kitérve a Volt Typhoohnra, ami az amerikai katonai mozgósítási képességek megzavarása törekszik egy esetleges tajvani konfliktus vagy más összeütközés kapcsán.

Hosszú távra rendezkednek be

A közlemény értelmében a hekkerek kiterjedt felderítést végeznek a célszervezetek hálózati architektúráját és működési protokolljait illetően. A Volt Typhoon routerek, tűzfalak és VPN-ek sérülékenységeit használta ki, hogy hozzáférjen a kritikus infrastruktúrához, a megszerzett hitelesítési adatok segítségével pedig hozzáférést tartott fenn az érintett rendszerekhez. Ez állítólag olyan lehetőségeket adott volna a támadóknak, mint az adatközpontok szellőzésének és hűtésének manipulálása, vagy a kritikus energia- és vízszabályozás megzavarása, egyes esetekben pedig képesek lehettek hozzáférni a kritikus infrastrukturális létesítmények kamerás megfigyelő rendszereihez is.

A hosszú távú, észrevétlen jelenlét fenntartására a rendszerekben már működő, legitim eszközöket és funkciókat használták fel, óvatosságukra pedig jellemző volt, hogy tartózkodtak az ellopott hitelesítő adatok normál munkaidőn kívüli használatától is, elkerülve a szokatlan felhasználói tevékenységből fakadó riasztásokat. A TechCrunch vonatkozó riportja szerint a Microsoft tavaly májusban már arról számolt be egyik biztonsági jelentésében, hogy a Volt Typhoon legalább 2021 közepe óta támadhatja az Egyesült Államok kritikus infrastruktúráját, az FBI és az amerikai igazságügyi minisztérium pedig a múlt héten jelentette be a csoport által üzemeltetett egyik botnet kiiktatását.