Ataques do Volt Typhoon: Atores Chineses Patrocinados pelo Estado Focam Esforços Maliciosos na Infraestrutura Crítica dos EUA
Índice:
Hackers patrocinados pelo Estado agindo em nome do governo de Pequim têm organizado operações ofensivas com o objetivo de coletar inteligência e lançar campanhas destrutivas contra os EUA e organizações globais há anos, com múltiplos ataques observados relacionados a grupos como Mustang Panda or APT41.
O último alerta conjunto das agências de inteligência dos EUA, Reino Unido, Austrália, Nova Zelândia e Canadá alerta que outro grupo APT chinês, apelidado de Volt Typhoon (também conhecido como Vanguard Panda, BRONZE SILHOUETTE) mirou na infraestrutura crítica dos EUA. Os atores patrocinados pelo Estado se infiltraram na infraestrutura crítica dos Estados Unidos, mantendo acesso por meio década e planejando um conjunto de operações destrutivas. Em particular, os adversários exploraram um conjunto de lacunas de segurança que afetam roteadores SOHO, firewalls e VPNs para estabelecer uma posição inicial nas redes alvo e prosseguir com atividades maliciosas.
Detectar Ataques da Volt Typhoon
A ameaça crescente representada por agentes estatais continua a intensificar-se com novas táticas, técnicas e procedimentos adicionados ao arsenal dos adversários. Profissionais de cibersegurança devem acompanhar constantemente as novas artimanhas maliciosas para proteger a infraestrutura organizacional e detectar possíveis ataques nos estágios mais iniciais de desenvolvimento. A Plataforma SOC Prime oferece um conjunto de ferramentas avançadas para levar seus esforços de caça a ameaças ao próximo nível e manter a defesa sempre atualizada.
Detecte a atividade maliciosa vinculada às operações da Volt Typhoon usando um conjunto de algoritmos de detecção selecionados na Plataforma SOC Prime. Todas as detecções são compatíveis com mais de 25 soluções de SIEM, EDR, XDR e Data Lake e mapeadas para o framework MITRE ATT&CK v14 para ajudar os profissionais de segurança a otimizar a investigação.
Clique no botão Explore Detecções abaixo para acessar imediatamente um pacote de conteúdo de detecção destinado a detectar ataques encobertos da Volt Typhoon. Para simplificar a busca de conteúdo, a SOC Prime oferece suporte à filtragem por tags personalizadas “AA24-038A,” “Volt Typhoon,” “Vanguard Panda,” “BRONZE SILHOUETTE,” “Dev-0391,” “UNC3236,” “Voltzite,” e “Insidious Taurus” com base no alerta CISA e identificadores de coletivos de hackers.
Análise dos Ataques do Grupo de Hackers Volt Typhoon Cobertos no AA24-038A Aviso de Cibersegurança da CISA
Em 7 de fevereiro de 2024, a CISA, NSA e o FBI, em conjunto com outras agências de inteligência internacionais, emitiram o aviso AA24-038A alertando sobre uma operação duradoura do APT Volt Typhoon. Adversários nacionais têm usado uma botnet composta por roteadores SOHO para penetrar nas redes de várias organizações dos setores de comunicação, energia, transporte e outras infraestruturas críticas dos EUA. De acordo com especialistas em cibersegurança federais, o Volt Typhoon está focado principalmente em operações destrutivas em vez de ciberespionagem, estabelecendo acesso às redes para se mover lateralmente entre os ambientes e potencialmente interromper os ativos de OT. Além do foco principal nos EUA, os especialistas supõem que organizações canadenses, australianas e da Nova Zelândia também possam ser afetadas.
Notavelmente, os últimos ataques da Volt Typhoon podem estar conectados ao malware KV-botnet associado aos hackers apoiados por Pequim e revelados em dezembro de 2023. Esse malware tem sido usado para sequestrar roteadores e dispositivos VPN, formando uma poderosa botnet sob o controle de hackers chineses.
Volt Typhoon tem realizado suas operações ofensivas na arena de ameaças cibernéticas desde 2021, visando principalmente infraestruturas críticas em Guam e outras partes dos EUA em múltiplos setores industriais. Os padrões de comportamento identificados revelam os objetivos dos atacantes relacionados à atividade de ciberespionagem e seu foco em manter furtividade e persistência. Para operar sem ser detectado, o Volt Typhoon depende massivamente de táticas de viver da terra, explora contas válidas e mantém segurança operacional aprimorada. Devido a essa abordagem, os hackers conseguiram permanecer despercebidos nas redes alvo por mais de cinco anos em alguns casos, continuando secretamente com a atividade maliciosa.
Considerando a sofisticação crescente das capacidades dos adversários chineses apoiadas pelo governo do país nos últimos cinco anos, é altamente provável que a China fortaleça sua posição na frente cibernética, aprimorando sua guerra cibernética e expandindo o escopo dos ataques. Confie na SOC Prime e alcance mais de 500 algoritmos de detecção selecionados contra ataques de APT atuais e emergentes de qualquer escopo e escala para reforçar continuamente sua resiliência cibernética.
