Wat is Volt Typhoon?
Volgens westerse inlichtingendiensten is Volt Typhoon een door de staat ondersteunde Chinese cyberoperatie die ook bekend staat onder verschillende andere namen, waaronder Vanguard Panda, Brronze Silhouette, Dev-0391, UNC3236, Voltzite en Insidious Taurus. Deze operatie heeft duizenden met het internet verbonden apparaten gecompromitteerd. Deze cyberdreiging maakt deel uit van een grotere strategie om cruciale westerse infrastructuur te infiltreren. Specifiek richt Volt Typhoon zich op een breed scala aan vitale sectoren, waaronder marinehavens, internetdienstverleners, communicatiediensten en nutsvoorzieningen.
Recentelijk hebben de Amerikaanse autoriteiten bekendgemaakt dat zij een netwerk van honderden gecompromitteerde apparaten, een zogenaamd botnet, hebben ontmanteld dat werd toegeschreven aan deze hackinggroep. Deze actie volgt op eerdere waarschuwingen over de activiteiten van Volt Typhoon.
Jen Easterly, de directeur van de Cybersecurity and Infrastructure Security Agency (CISA) van de VS, heeft tijdens een hoorzitting van een commissie van het Amerikaanse Huis van Afgevaardigden eerder deze maand verklaard dat CISA-teams Chinese indringingen hebben ontdekt en geëlimineerd in meerdere sectoren van kritieke infrastructuur. Deze sectoren omvatten luchtvaart, waterbeheer, energie en transport.
Hoe werkt het?
Volt Typhoon maakt gebruik van verschillende technieken om kwetsbaarheden in specifieke technologische apparaten zoals kleine en verouderde routers, firewalls en virtuele privénetwerken (VPN's) uit te buiten. Deze aanpak benut vaak beheerdersrechten en gestolen wachtwoorden, of maakt gebruik van verouderde technologie die niet regelmatig wordt bijgewerkt. Dit zijn enkele kritieke zwakke plekken die geïdentificeerd zijn in de Amerikaanse digitale infrastructuur. Volt Typhoon past zogenaamde "living off the land"-technieken toe, waarbij de malware enkel gebruikmaakt van bestaande middelen in het besturingssysteem van het doelwit, in plaats van nieuwe (en meer opspoorbare) bestanden te introduceren.
Een rapport dat is vrijgegeven door de CISA, de National Security Agency (NSA) en de FBI meldde dat hackers van Volt Typhoon deze toegang al vijf jaar hebben behouden. Hoewel de aanvallen zich alleen op Amerikaanse infrastructuur richtten, is het waarschijnlijk dat de infiltratie ook invloed heeft gehad op de bondgenoten van de VS binnen de "Five Eyes"-alliantie: Canada, Australië, Nieuw-Zeeland en het VK.
Het doel uitgelegd
Volgens Amerikaanse autoriteiten wijkt de keuze van doelwitten en het gedragspatroon van Volt Typhoon af van traditionele cyberespionage of inlichtingenvergaring. De operatie, die actief is geweest sinds medio 2021 volgens een onderzoek van Microsoft gepubliceerd vorig jaar, heeft zich specifiek gericht op Amerikaanse infrastructuur in Guam en andere locaties. Microsoft ontdekte dat Volt Typhoon bezig was met het ontwikkelen van mogelijkheden die kritieke communicatie-infrastructuur tussen de Verenigde Staten en de Aziatische regio tijdens toekomstige crises zouden kunnen verstoren.
Het gezamenlijke rapport van de PRC (Volksrepubliek China) gesponsorde cyberactoren benadrukt dat deze actoren proberen zich te positioneren binnen IT-netwerken voor disruptieve of destructieve cyberaanvallen tegen de Amerikaanse kritieke infrastructuur in het geval van een grote crisis of conflict met de Verenigde Staten.
Chinese reactie: ontkenning
Beijing wijst consequent alle beschuldigingen van cyberaanvallen en spionage die gelinkt worden aan of ondersteund zijn door de Chinese staat af. Desondanks heeft bewijs zich opgestapeld over meer dan twee decennia dat Beijing betrokken is bij cyber-spionagecampagnes. Deze spionageactiviteiten zijn de afgelopen tien jaar scherp onder de loep genomen, omdat westerse onderzoekers inbreuken hebben kunnen verbinden met specifieke eenheden binnen het Volksbevrijdingsleger. Bovendien heeft de Amerikaanse wetshandhaving een reeks Chinese officieren beschuldigd van het stelen van Amerikaanse geheimen.
Secureworks, een onderdeel van Dell Technologies, gaf in een blogpost van vorig jaar aan dat de focus van Volt Typhoon op operationele veiligheid waarschijnlijk voortkomt uit de verlegenheid over de constante stroom van Amerikaanse aanklachten en de "verhoogde druk van de Chinese leiding om publieke controle van zijn cyber-spionageactiviteiten te vermijden".
Reactie van Het Nationaal Centrum voor Computer Virus Noodrespons van China (CVERC)
Toekomst en maatregelen
De wijdverspreide aard van de hacks heeft geleid tot een reeks ontmoetingen tussen het Witte Huis en de private technologie-industrie, waaronder meerdere telecommunicatie- en cloudcomputingbedrijven. Tijdens deze bijeenkomsten heeft de Amerikaanse overheid om hulp gevraagd bij het volgen van de activiteit.
Instellingen en middelen die doelwit waren van het inmiddels ontmantelde botnet kregen in januari van CISA de opdracht om getroffen apparaten en producten los te koppelen. Dit markeerde het begin van een intensief en moeilijk proces van herstel.
"Dit was noodzakelijk gezien de omvang van targeting en compromittering wereldwijd van de nu drie uitgebuite kwetsbaarheden die deze apparaten beïnvloeden," vertelde Eric Goldstein, CISA's executive assistant director voor cybersecurity, tijdens de Risky Business podcast.
"Elke organisatie die deze apparaten gebruikt moet absoluut uitgaan van targeting en aannemen dat er sprake is van compromittering."
Bronnen
- https://www.cisa.gov/news-events/cybersecurity-advisories/
- https://www.reuters.com/technology/
- https://www.reuters.com/world/us/
- https://www.msspalert.com/news/
- https://www.infosecurity-magazine.com/news/