미국 사이버보안 및 인프라 보안국(CISA)은 중국이 지원하는 볼트 타이푼 지능형 지속 위협(APT)이 어떻게 공격받고 있는지 자세히 설명하는 보고서를 발표했습니다. 매우 민감한 중요 인프라를 지속적으로 표적으로 삼음, 사이버 공격자가 내부에 잠입한 후 OT(운영 기술) 네트워크로 전환하는 방법에 대한 새로운 정보가 포함되어 있습니다.
OT 네트워크가 산업 제어 시스템(ICS) 및 감독 제어 및 데이터 수집(SCADA) 장비의 물리적 기능을 담당한다는 점을 고려하면 이번 조사 결과는 다음을 명확하게 뒷받침합니다. 계속되는 의심 중국 해커들이 에너지 분야의 중요한 물리적 운영을 방해할 수 있기를 바라고 있습니다. 수도 시설, 통신, 교통 등은 아마도 사건 발생 시 공황과 불화를 일으킬 수 있습니다. 미국과 중국의 역학적 대화.
"Volt Typhoon 행위자는 기능을 방해하기 위해 OT 자산에 대한 측면 이동을 가능하게 하기 위해 IT 네트워크에 사전 위치를 지정하고 있습니다." CISA의 볼트 태풍 주의보. [우리는] "잠재적인 지정학적 긴장 및/또는 군사적 충돌이 발생할 경우 이들 행위자가 파괴적인 효과를 위해 네트워크 액세스를 사용할 가능성에 대해 우려하고 있습니다."
Mandiant Intelligence/Google Cloud의 수석 분석가인 John Hultquist에 따르면 이는 중요한 사실입니다.
“이전에는 타겟팅을 통해 배우가 중요 인프라에 대한 강한 관심 정보 가치가 거의 없었습니다.”라고 이메일 분석에서 말했습니다. 그러나 CISA 보고서에 따르면 "Volt Typhoon은 중요 인프라의 핵심에서 물리적 프로세스를 실행하는 매우 민감한 시스템인 OT 시스템에 대한 정보를 수집하고 심지어 침투하고 있습니다."라고 그는 덧붙였습니다. “적절한 조건 하에서, OT 시스템이 조작될 수 있음 필수 서비스의 대규모 중단을 초래하거나 심지어 위험한 상황을 조성할 수도 있습니다.”
Hultquist는 "만약 이 배우가 왜 이러한 침입을 수행하는지에 대해 회의적인 시각이 있었다면 이번 공개를 통해 이를 잠재워야 합니다"라고 덧붙였습니다.
땅에서 벗어나 5년 동안 숨어 지내다
CISA는 또한 오늘 Volt Typhoon(일명 Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite 및 Insidious Taurus)이 처음임에도 불구하고 XNUMX년 동안 미국 인프라에 비밀리에 숨겨져 있었다고 밝혔습니다. 마이크로소프트에 의해 공개적으로 퇴출당함 작년에만요.
“빠르게 침입하여 피해를 입히는 것이 목표인 랜섬웨어 운영자와 달리 이 국가 운영자는 유효한 계정을 활용하고 있으며 '땅에서 살아보기' [LOTL] Panther Lab의 현장 CISO인 Ken Westin은 이메일로 보낸 댓글에서 이렇게 말했습니다. "이러한 방법을 통해 그룹은 목표를 모니터링하고 운동 손상을 일으킬 수 있는 발판을 제공할 수 있습니다."
APT는 "또한 유효한 계정에 의존하고 강력한 운영 보안을 활용하여 장기간 동안 발견되지 않은 지속성을 허용합니다"라고 CISA는 설명했습니다. “Volt Typhoon 공격자는 대상 조직과 환경에 대해 알아보기 위해 광범위한 사전 공격 정찰을 수행합니다. 전술, 기법, 절차(TTP)를 피해자의 환경에 맞게 조정합니다. 초기 침해 이후에도 시간이 지남에 따라 지속성을 유지하고 대상 환경을 이해하는 데 지속적인 리소스를 투입합니다.”
합법적인 유틸리티를 사용하고 정상적인 교통 흐름에 섞여 숨어 지내는 Volt Typhoon의 전략 사이버 범죄의 새로운 현상은 아닙니다, 잠재적인 대상이 악의적인 활동을 적극적으로 검색하기 어렵게 만든다고 합니다. 광범위한 LOTL 지침을 발행한 CISA 오늘은 바로 그 일을 하기 위해서입니다.
한편, 인프라 업데이트에는 비용이 많이 들고 노동 집약적인 지게차 교체가 필요한 경우도 있지만 문제가 발생하지 않을 수도 있습니다.
Westin은 “표적으로 삼고 있는 OT 환경 중 다수는 시스템을 업데이트할 수 없는 경우 부주의나 필요에 의해 오래된 소프트웨어를 실행하는 것으로 악명 높으며, 이로 인해 이러한 위협으로 인한 위험이 증가합니다.”라고 말했습니다.
걱정스럽게도 CISA는 위험이 미국을 넘어 확장되고 있다고 지적했습니다. 지난달 SecurityScorecard의 STRIKE 팀은 APT가 호주와 영국 정부 자산도 표적으로 삼고 있음을 나타내는 Volt Typhoon과 연결된 새로운 인프라를 식별했습니다. CISA 보고서는 캐나다와 뉴질랜드도 포함하도록 위험을 확대했습니다. 이들 미국 파트너의 인프라는 모두 국가 행위자에게 취약하다고 경고했습니다.
CISA의 권고는 곧 발표됩니다. 정부의 방해 조치 그룹의 SOHO(소규모 사무실/홈 오피스) 라우터 봇넷을 사용했습니다. 활동을 추적하는 사람들을 버리십시오.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
