Wereldwijde Waarschuwing: Ontdekking van door de Chinese staat gesponsorde aanvallen op kritieke infrastructuur van de VS.

Een gezamenlijk rapport dat in februari 2024 is gepubliceerd door het Agentschap voor Infrastructuurbeveiliging en Cyberbeveiliging (CISA) waarschuwt voor de cyberdreiging die uitgaat van de groep Volt Typhoon, ook bekend als Bronze Silhouette. Deze kwaadaardige speler, gelinkt aan de Chinese overheid, is actief sinds ten minste 2021 en richt zich op het verzamelen van vertrouwelijke informatie en spionage van kritieke infrastructuren in de VS, inclusief Guam.

De aanval richt zich op het infiltreren in IT-netwerken om malware te plaatsen die in staat is schade aan te richten of kritieke operaties te verstoren in geval van een conflict tussen de VS en China. Volt Typhoon heeft zijn benadering nauwgezet gevoerd, waarbij het geavanceerde technieken zoals “living off the land” (LOTL), het stelen van inloggegevens en handmatige activiteiten gebruikt om onopgemerkt te blijven.

Kritieke infrastructuren in gevaar

De lijst van kritieke infrastructuren is uitgebreid, met sectoren zoals communicatie, energie, vervoer, fabricage en andere. De volledige beschrijving omvat 16 sectoren, waaronder:

  • Energie: Infrastructuur voor elektriciteit, gas en olie.
  • Communicatie: Netwerken die bedrijfs-, overheids- en openbare veiligheidsoperaties ondersteunen.
  • Nooddiensten: Reactie op incidenten op lokaal, staats- en federaal niveau.
  • Fabricage: Productie van sleutelcomponenten voor de industrie.

Technieken van de groep Volt Typhoon

Volt Typhoon heeft al meerdere organisaties van kritieke infrastructuur aangevallen, specifiek in de sectoren van communicatie, energie, transportsystemen en waterbehandeling. De aanvallen tonen een duidelijke focus op infiltratie en persistentie in de IT-netwerken om in de toekomst verstoringen uit te voeren.

De groep heeft zich extreem geduldig getoond, zijn technieken aanpassend aan de doelomgeving. Tot hun methoden behoren:

  • Inloggegevens stelen: Malware gebruiken om wachtwoorden te bemachtigen en vervolgens zijwaarts naar de domeincontroller te bewegen.
  • Beschikken over bewegingen: Legitieme programma’s en PowerShell gebruiken om detectie te vermijden.
  • Nauwkeurige dataverzameling: Netwerken analyseren voor de aanval om hun architectuur te begrijpen.

Aanbevelingen voor mitigatie

Amerikaanse veiligheidsagentschappen hebben aanbevolen een aantal maatregelen te implementeren om soortgelijke aanvallen te identificeren en te blokkeren. Het is essentieel dat organisaties proactieve dreigingsbeoordelingen uitvoeren die op de loer kunnen liggen in hun netwerken.

Het belang van threat intelligence

Threat intelligence is essentieel om de kwaadaardige actoren, hun methoden en motivaties te begrijpen. Infoblox biedt geavanceerde tools die helpen om kwaadaardige infrastructuren te identificeren voordat actoren ze gebruiken. Met behulp van geavanceerde algoritmen worden verdachte domeinen gecorreleerd met databronnen om een volledig beeld van het dreigingslandschap te bieden.

Organisaties kunnen deze informatie gebruiken om veiligheidsbeleid te ontwikkelen dat meer uniform is, proactief domeinen blokkeren en hun verdedigingsstrategie versterken. Een van de meest effectieve oplossingen is Infoblox DNS Detection and Response (DNSDR), die helpt om dreigingen vroegtijdig te identificeren ter preventie van schade.

De dreiging van Volt Typhoon is een krachtige herinnering dat kritieke infrastructuren het doelwit zijn van goed gefinancierde en hoog opgeleide staatsspelers. De implementatie van proactieve maatregelen en effectieve threat intelligence zijn vitaal om deze dreigingen tegen te gaan en continue operaties te verzekeren.

Bron: infoblox