Новости Volt Typhoon – призрак китайских хакеров или паранойя Запада

[NewsMaker]

Запад обвинил Китай в сокрытии следов своих кибератак.

---

---

Национальное агентство по кибербезопасности Китая столкнулось с обвинениями в искажении данных западных ИБ-компаний.

Trellix Для просмотра ссылки Войди или Зарегистрируйся с The Record Media своим ответом на Для просмотра ссылки Войди или Зарегистрируйся CVERC, в котором утверждается, что разведывательный альянс Five Eyes («Пять глаз») сфабриковал доказательства кибератак. В Trellix заявили, что правительство Китая пытается опровергнуть обвинения о причастности поддерживаемой Пекином хакерской группы к атакам на критически важную инфраструктуру Запада.

Хакерские группы Volt Typhoon и Bronze Silhouette предпринимают значительные усилия, чтобы скрыть свои связи с Китаем, что свидетельствует о растущей чувствительности Пекина к обвинениям в кибератаках. В феврале агентство CISA предупредило, что Для просмотра ссылки Войди или Зарегистрируйся для возможных разрушительных атак на критически важную инфраструктуру США в случае кризиса или конфликта с США.

После предупреждения CISA, CVERC и англоязычная версия газеты Global Times (контролируется Коммунистической партией Китая) заявили, что подобной угрозы не существует. В докладе CVERC, скоординированном с Для просмотра ссылки Войди или Зарегистрируйся в Global Times, утверждается, что Volt Typhoon – кампания по дезинформации, намеренно приписывающая кибератаки группы Dark Power китайскому государству.

По Для просмотра ссылки Войди или Зарегистрируйся Trellix, Dark Power — это целенаправленная операция по вымогательству. Организации-жертвы не имеют между собой чёткой связи и располагаются в разных странах (в том числе в США, Франции, Израиле, Турции, Чехии, Алжире, Египте и Перу). Первая атака была зафиксирована специалистами в конце января 2023 года. Так как кампания не рекламировалась на хакерских форумах или в даркнет-пространствах, вероятнее всего, это частный проект.

Доклад CVERC содержит множество грамматических и орфографических ошибок, даже в названиях китайских учреждений. В одном из случаев Для просмотра ссылки Войди или Зарегистрируйся (Northwestern Polytechnical University) был назван Северо-Западным пиротехническим университетом (Northwestern Pyrotechnical University). Компания SentinelOne отметила, что политехнический университет, возможно, был соавтором доклада вместе с Global Times.

Доклад CVERC искажает термины анализа разведки, утверждая о разногласиях между оценками CISA и частными ИБ-компаниями в отношении деятельности хакеров. CVERC цитирует Mandiant, которая со «средней уверенностью» Для просмотра ссылки Войди или Зарегистрируйся деятельность UNC5291 с Volt Typhoon, нацеленной на энергетический и оборонный секторы США.

Mandiant сообщила, что наблюдала кампанию группы UNC5291, Для просмотра ссылки Войди или Зарегистрируйся в январе, но не зафиксировала успешного взлома со стороны Volt Typhoon. CVERC интерпретировало это как противоречие Для просмотра ссылки Войди или Зарегистрируйся об эксплуатации уязвимости в Ivanti Connect Secure.

Доклад CVERC также ссылался на отчеты Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , включающие хэш образца программ-вымогателей Для просмотра ссылки Войди или Зарегистрируйся который компании связали с IP-адресами группы Volt Typhoon. В Trellix заявили, что их исследование не подтверждает связь между Dark Power и Volt Typhoon, а CVERC использует блог Trellix для дезинформации.

Ни Mandiant, ни ThreatMon не ответили на запросы о комментариях. Другие ИБ-компании, включая Bitdefender, Secureworks и Microsoft, также сообщали о случаях, приписываемых Volt Typhoon, в которых хакеры нацеливались на критически важную инфраструктуру США.