Agentury pro kybernetickou bezpečnost aliance států Five Eyes zvěřejnily technické podrobnosti týkající se čínského kyberšpionížního aktéra, který je známý jako Volt Typhoon (aka Bronze Silhouette, Vanguard Panda).
Skupina je aktivní nejméně od roku 2020 a své útoky zaměřuje především na sektor komunikací, veřejných služeb, dopravy, stavebnictví, státní správy a informačních technologií.
Kromě výše uvedeného se stala cílem útoku i vojenská základna na Guamu, která patří k ústředním vojenským prvkům americké vojenské reakce na invazi nebo blokádu Tchaj-wanu.
Peking zprávu označil za kolektivní dezinformační kampaň skupiny Five Eyes iniciovanou Spojenými státy, která má sloužit jejich geopolitické agendě.
Ačkoli hlavním cílem skupiny byla a je kybernetická špionáž, existuje důvodné podezření, že je zároveň schopna narušit kritickou informační infrastrukturu. K tomuto faktu se přiklání nejen společnost Microsoft, aliance Five Eyes, ale také Cisco a Secureworks.
Pro získání počátečního přístupu do sítě oběti zneužívají útočníci zranitelnosti nultého dne ve službách ManageEngine Self-service Plus a Fortinet FortiGuard a své aktivity zakrývají infrastrukturou kompromitovaných SoHo (small offices and home offices) zařízení od společností ASUS, Cisco, D-Link, NETGEAR a Zyxel a mazáním logů v síti oběti.
Perzistence je zajišťována jedinečným webshellem odvozený od webshellu Awen. Průzkum, lateral movement (boční pohyb) a sběr informací o cíli využívá techniku LOTL (living-off-the-land) a řadu veřejně dostupných hackerských nástrojů, jako jsou Fast Reverse Proxy (frp), Impacket nebo Mimikatz.
Rozsah kompromitace amerických sítí čínským útočníkem není v současné době známá a je součástí stále probíhajícího vyšetřování.
Zdroje: media.defense.gov, global.chinadaily.com.cn, reuters.com