Attacchi Volt Typhoon: Attori Sponsorizzati dalla Nazione Cinese Concentrano i Loro Sforzi Malevoli sulle Infrastrutture Critiche degli Stati Uniti
Indice:
Hacker sponsorizzati dallo stato che agiscono per conto del governo di Pechino stanno organizzando operazioni offensive mirate alla raccolta di intelligence e al lancio di campagne distruttive contro gli Stati Uniti e le organizzazioni globali da anni, con molteplici attacchi osservati legati a gruppi come Mustang Panda or APT41.
L’ultima allerta congiunta delle agenzie di intelligence di Stati Uniti, Regno Unito, Australia, Nuova Zelanda e Canada avverte che un altro gruppo APT cinese soprannominato Volt Typhoon (anche noto come Vanguard Panda, BRONZE SILHOUETTE) ha messo gli occhi sulle infrastrutture critiche degli Stati Uniti. Gli attori sponsorizzati dallo stato sono penetrati nelle infrastrutture critiche degli Stati Uniti, mantenendo l’accesso per mezzo decennio e pianificando una serie di operazioni distruttive. In particolare, gli avversari hanno sfruttato una serie di lacune di sicurezza che colpiscono router SOHO, firewall e VPN per stabilire un punto di accesso iniziale nelle reti bersaglio e proseguire con attività malevole.
Rilevare gli attacchi Volt Typhoon
La crescente minaccia rappresentata da attori nazionali continua ad intensificarsi con nuove tattiche, tecniche e procedure aggiunte al toolkit degli avversari. I professionisti della cybersecurity dovrebbero costantemente stare al passo con i nuovi trucchi malevoli per mettere in sicurezza l’infrastruttura organizzativa e rilevare possibili attacchi nelle fasi iniziali di sviluppo. La piattaforma SOC Prime offre una serie di strumenti avanzati per portare gli sforzi di threat hunting al livello successivo e mantenere sempre le difese aggiornate.
Rileva l’attività malevola legata alle operazioni di Volt Typhoon utilizzando una serie di algoritmi di rilevamento curati nella piattaforma SOC Prime. Tutte le rilevazioni sono compatibili con oltre 25 soluzioni SIEM, EDR, XDR e Data Lake e mappate al framework MITRE ATT&CK v14 per aiutare i professionisti della sicurezza a ottimizzare l’indagine.
Clicca sul pulsante Esplora Rilevamenti qui sotto per approfondire immediatamente un pacchetto di contenuti di rilevamento mirato a individuare attacchi covert Volt Typhoon. Per semplificare la ricerca dei contenuti, SOC Prime supporta il filtraggio tramite tag personalizzati “AA24-038A,” “Volt Typhoon,” “Vanguard Panda,” “BRONZE SILHOUETTE,” “Dev-0391,” “UNC3236,” “Voltzite,” e “Insidious Taurus” basato sull’allerta CISA e sugli identificativi dei collettivi hacker.
Analizzare gli attacchi del gruppo hacker Volt Typhoon coperti nel consiglio di sicurezza cibernetica CISA AA24-038A
Il 7 febbraio 2024, CISA, NSA e FBI, con altre agenzie di intelligence internazionali, hanno emesso la consulenza AA24-038A che avverte di un’operazione di lunga durata da parte dell’APT Volt Typhoon. Gli avversari statali hanno utilizzato una botnet composta da router SOHO per penetrare nelle reti di più organizzazioni nei settori di comunicazione, energia, trasporto e altre infrastrutture critiche degli Stati Uniti. Secondo gli esperti federali di cybersecurity, Volt Typhon è principalmente orientato alle operazioni distruttive piuttosto che allo spionaggio cibernetico, stabilendo l’accesso alle reti per muoversi lateralmente all’interno degli ambienti e potenzialmente distruggere le risorse OT. Oltre al principale focus sugli Stati Uniti, gli esperti ipotizzano che anche le organizzazioni canadesi, australiane e neozelandesi potrebbero essere colpite.
In particolare, gli ultimi attacchi Volt Typhoon potrebbero essere collegati al malware KV-botnet legato agli hacker sostenuti da Pechino e rivelato nel dicembre 2023. Questo malware è stato utilizzato per dirottare router e dispositivi VPN, formando una potente botnet sotto il controllo degli hacker cinesi.
Volt Typhoon ha svolto le sue operazioni offensive nell’arena delle minacce cibernetiche dal 2021, principalmente prendendo di mira le infrastrutture critiche a Guam e in altre parti degli Stati Uniti attraverso molteplici settori industriali. I modelli di comportamento identificati rivelano gli obiettivi degli attaccanti relativi all’attività di spionaggio cibernetico e il loro focus sul mantenimento di discrezione e persistenza. Per non essere rilevati, Volt Typhon si affida massicciamente a tattiche di living-off-the-land, sfrutta conti validi e mantiene una sicurezza operativa migliorata. Grazie a questo approccio, gli hacker sono riusciti a rimanere inosservati all’interno delle reti bersaglio per oltre cinque anni in alcuni casi, proseguendo clandestinamente con l’attività malevola.
In vista della crescente sofisticazione delle capacità avversarie cinesi supportate dal governo del paese nell’ultimo mezzo decennio, la Cina è altamente probabile che rafforzi la sua posizione sul fronte cibernetico rafforzando la sua guerra cibernetica e espandendo la portata degli attacchi. Affidati a SOC Prime e ottieni oltre 500 algoritmi di rilevamento curati contro gli attacchi APT attuali ed emergenti di qualsiasi portata e scala per rafforzare continuamente la tua resilienza cibernetica.
