Volt Typhoon-Angriffe: Von China unterstützte Akteure konzentrieren bösartige Aktivitäten auf die kritische Infrastruktur der USA

Im Auftrag der Pekinger Regierung handelnde, staatlich unterstützte Hacker haben seit Jahren offensive Operationen organisiert, die darauf abzielen, Informationen zu sammeln und zerstörerische Kampagnen gegen die USA und globale Organisationen zu starten, wobei mehrere beobachtete Angriffe mit Gruppen wie Mustang Panda or APT41.

In der neuesten gemeinsamen Warnung der Geheimdienste der USA, UK, Australien, Neuseeland und Kanada wird davor gewarnt, dass eine weitere chinesische APT-Gruppe mit dem Namen Volt Typhoon (alias Vanguard Panda, BRONZE SILHOUETTE) sich auf die kritische Infrastruktur der USA konzentriert. Die staatlich unterstützten Akteure haben sich Zugang zur kritischen Infrastruktur der Vereinigten Staaten verschafft, diesen Zugang über ein halbes Jahrzehnt aufrechterhalten und eine Reihe von zerstörerischen Operationen geplant. Insbesondere nutzten Gegner eine Reihe von Sicherheitslücken, die SOHO-Router, Firewalls und VPNs betreffen, um einen ersten Fuß in den angestrebten Netzwerken zu fassen und böswillige Aktivitäten durchzuführen.

Erkennen von Volt Typhoon-Angriffen

Die zunehmende Bedrohung durch staatliche Akteure nimmt kontinuierlich zu, mit neuen Taktiken, Techniken und Verfahren, die dem Werkzeugkasten der Angreifer hinzugefügt werden. Cybersecurity-Profis sollten ständig am Puls neuer bösartiger Tricks bleiben, um die organisatorische Infrastruktur zu sichern und mögliche Angriffe in den frühesten Entwicklungsstufen zu erkennen. Die SOC Prime Platform bietet eine Reihe fortschrittlicher Werkzeuge, um Ihre Threat-Hunting-Bemühungen auf die nächste Stufe zu heben und die Verteidigung stets auf dem neuesten Stand zu halten.

Erkennen Sie die bösartigen Aktivitäten, die mit den Volt Typhoon-Operationen verbunden sind, mithilfe einer Reihe kuratierter Erkennungsalgorithmen in der SOC Prime Platform. Alle Erkennungen sind mit mehr als 25 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel und sind auf den MITRE ATT&CK-Framework v14 abgestimmt, um Sicherheitsexperten bei der Straffung von Untersuchungen zu unterstützen.

Klicken Sie auf die Schaltfläche ‚Erkundung von Erkennungen‘, um sofort zu einem Erkennungsinhalts-Bundle zu gelangen, das auf versteckte Volt Typhoon-Angriffe abzielt. Um die Inhaltssuche zu vereinfachen, unterstützt SOC Prime das Filtern nach benutzerdefinierten Tags „AA24-038A,“ „Volt Typhoon,“ „Vanguard Panda,“ „BRONZE SILHOUETTE,“ „Dev-0391,“ „UNC3236,“ „Voltzite“ und „Insidious Taurus” basierend auf der CISA-Warnung und den Identifikatoren des Hacking-Kollektivs.

Erkunden Sie Erkennungen

Analyse der Volt Typhoon-Angriffe von Hacking-Gruppen in der AA24-038A CISA Cybersecurity Advisory

Am 7. Februar 2024 gaben CISA, NSA und FBI zusammen mit anderen internationalen Geheimdiensten eine AA24-038A-Beratung heraus, in der vor einer langanhaltenden Operation von Volt Typhoon APT gewarnt wurde. Staatenfeindliche Angreifer nutzten ein Botnet aus SOHO-Routern, um in die Netzwerke mehrerer Organisationen in den Bereichen Kommunikation, Energie, Transport und anderer kritischer Infrastrukturen der USA vorzudringen. Laut Bundes-Cybersicherheitsexperten zielt Volt Typhon hauptsächlich auf zerstörerische Operationen ab, statt auf Cyber-Spionage, um Zugang zu den Netzwerken zu etablieren und sich seitlich über die Umgebungen zu bewegen, mit der Möglichkeit, die OT-Assets zu stören. Abgesehen vom Hauptfokus auf die USA vermuten Experten, dass auch kanadische, australische und neuseeländische Organisationen betroffen sein könnten.

Bemerkenswert ist, dass die neuesten Volt Typhoon-Angriffe möglicherweise mit der KV-Botnet-Malware in Verbindung stehen, die mit den von Peking unterstützten Hackern in Verbindung gebracht wird und im Dezember 2023 enthüllt wurde. Diese Malware wurde verwendet, um Router und VPN-Geräte zu kapern und ein leistungsstarkes Botnet unter der Kontrolle chinesischer Hacker zu formen.

Volt Typhoon führt seit 2021 seine offensiven Operationen im Bereich der Cyberbedrohung durch und zielt hauptsächlich auf kritische Infrastrukturen in Guam und anderen Teilen der USA ab, über mehrere Industriezweige hinweg. Die identifizierten Verhaltensmuster offenbaren die Ziele der Angreifer im Zusammenhang mit Cyber-Spionage-Aktivitäten und deren Fokus auf die Aufrechterhaltung von Unauffälligkeit und Persistenz. Um unentdeckt zu bleiben, stützt sich Volt Typhon intensiv auf Living-off-the-land-Taktiken, nutzt gültige Konten aus und sorgt für erhöhte Betriebssicherheit. Aufgrund dieses Ansatzes schafften es die Hacker, in einigen Fällen über fünf Jahre unbemerkt in den Zielnetzwerken zu bleiben und heimlich mit den bösartigen Aktivitäten fortzufahren.

Angesichts der zunehmenden Raffinesse der chinesischen gegnerischen Fähigkeiten , die in den letzten fünf Jahren von der Regierung des Landes unterstützt wurden, ist es sehr wahrscheinlich, dass China seine Position an der Cyberfront stärken wird, indem es seine Cyberkriegsführung verstärkt und das Angriffsspektrum erweitert. Verlassen Sie sich auf SOC Prime und nutzen Sie über 500 kuratierte Erkennungsalgorithmen gegen aktuelle und aufkommende APT-Angriffe jeglichen Umfangs und Ausmaßes, um Ihre Cyber-Resilienz kontinuierlich zu verstärken.