А Китайский Спонсируемый государством субъект киберугроз выполняет отдельные шпионские операции в критически важной инфраструктуре США и может нацеливаться на другие страны, западные информационная безопасность Агентства и Microsoft предупредили в среду.
Эти операции могут быть направлены на разработку способов нарушения критически важных коммуникаций между США и Азией «во время будущих кризисов», заявила Microsoft — предупреждение, которое может относиться к потенциальной атаке на Тайвань со стороны Китайкоторая указала, что может использовать военную силу, чтобы поставить демократически управляемый остров под свой прямой контроль.
Угроза, исходящая от китайской группировки, известной как Вольт Тайфунвызвало редкое совместное консультирование в среду от агентств кибербезопасности Five Eyes, включая Канадский центр кибербезопасности Communications Security Establishment (CSE).
Агентства и Microsoft заявили, что группа избежала обнаружения, сливаясь с обычными операциями Windows с помощью ряда методов, известных как «жить за счет земли». Этот процесс позволяет актору перемещаться по системам, используя встроенные инструменты сетевого администрирования, что делает его действия похожими на обычную деятельность.
CSE сообщает, что Volt Typhoon до сих пор был обнаружен только в США, и что по состоянию на среду о жертвах в Канаде не сообщалось.
«Однако западные экономики глубоко взаимосвязаны», — предупредило агентство. «Большая часть нашей инфраструктуры тесно интегрирована, и атака на одну может повлиять на другую».
Агентства также предупредили, что, по их мнению, группа «может применить те же методы против этих и других секторов по всему миру».
В информационном бюллетене по анализу угрозMicrosoft заявила, что Volt Typhoon активен с середины 2021 года и нацелен на критически важную инфраструктуру на Гуаме и в других местах в США, включая, среди прочего, правительственный сектор, сектор связи, информационных технологий, морской и образовательный сектора.
«Наблюдаемое поведение предполагает, что субъект угрозы намеревается осуществлять шпионаж и поддерживать доступ, не будучи обнаруженным, как можно дольше», — говорится в оценке.
«Microsoft с умеренной уверенностью оценивает, что эта кампания Volt Typhoon направлена на развитие возможностей, которые могут нарушить критически важную коммуникационную инфраструктуру между Соединенными Штатами и азиатским регионом во время будущих кризисов».
На Гуаме расположены основные военные объекты США, в том числе база ВВС Андерсен, которая будет иметь ключевое значение для реагирования на любой конфликт в Азиатско-Тихоокеанском регионе.
Это будет включать в себя военное нападение Китая на Тайвань, к которому демократическое правительство острова заявило, что оно активно готовится. Об этом заявил министр иностранных дел Тайваня Global News в прошлом месяце. вопрос был в том, когда, а не если бы Пекин начал такую кампанию.
Китай объявляет Тайвань своей территорией, а высокопоставленные члены Коммунистической партии Китая, включая президента Си Цзиньпина, не стесняются своих целей по борьбе за контроль над островом. Си и его высокопоставленные чиновники не исключают использования для этого военной силы.
Microsoft не сказала, были ли «будущие кризисы» ссылкой на потенциальное будущее вторжение Китая на Тайвань. Ни одна из союзных разведывательных служб, включая CSE, не упомянула этот комментарий Microsoft в совместном заявлении. CSE направила вопросы по формулировке в Microsoft, добавив, что «не может сказать», на что компания ссылается.
Microsoft не сразу ответила на запрос о комментариях.
Microsoft заявила, что участники Volt Typhoon будут маскироваться под обычную сетевую активность и приступать к сбору данных от своих целей, включая учетные данные локальной сети, которые затем используются для «поддержания постоянства». Данные также будут храниться для эксфильтрации на внешние серверы.
Компания заявила, что уведомила целевых или скомпрометированных клиентов и предоставила им информацию о том, как «выследить» тактику и методы, используемые Volt Typhoon, и смягчить любые воздействия.
Но Microsoft также предупредила, что «смягчить последствия этой атаки может быть сложно» из-за используемых методов «жизни за счет земли».
Он предупредил, что скомпрометированные учетные записи «должны быть закрыты или изменены», чтобы избежать атак в будущем.
Агентства кибербезопасности Five Eyes также выпустили подробные инструкции о том, как обнаруживать активность Volt Typhoon и методы «жизни за счет земли» в более широком смысле.
Предупреждение в среду прозвучало на следующий день после того, как бывший генерал-губернатор Дэвид Джонстон опубликовал промежуточный отчет о своем расследовании того, как Канада выявляет угрозы иностранного вмешательства и противодействует им.
В отчете отмечается, что вмешательство Китая, в отличие от России, направлено на проникновение в демократические институты и критическую инфраструктуру, что значительно усложняет борьбу с ним.
Ежегодная Национальная оценка киберугроз CSE отмечает, что Китай, Россия, Иран и Северная Корея представляют наибольшую стратегическую киберугрозу для Канады, и все они продолжат атаковать важные сектора в течение следующих двух лет.
«Тем не менее, угроза со стороны Китая, скорее всего, является наиболее значительной по объему, возможностям и предполагаемым намерениям», — говорится в отчете.
«Спонсируемые Китаем субъекты киберугроз, скорее всего, продолжат нацеливаться на отрасли и технологии в Канаде, которые способствуют стратегическим приоритетам государства».
— С файлами из Reuters
© 2023 Global News, подразделение Corus Entertainment Inc.