Отчет спецслужбы альянса "Пяти глаз" (США, Канада, Великобритания, Австралия и Новая Зеландия)
КибербезопасностьОтчеты

Отчет спецслужбы альянса “Пяти глаз” (США, Канада, Великобритания, Австралия и Новая Зеландия)

Субъекты, спонсируемые государством КНР, идут на компромисс и поддерживают постоянный доступ к критической инфраструктуре США

Краткие сведения

Агентство кибербезопасности и инфраструктурной безопасности (CISA), Агентство национальной безопасности (АНБ) и Федеральное бюро расследований (ФБР) считают, что спонсируемые государством киберпреступники Китайской Народной Республики (КНР) стремятся заранее занять позиции в ИТ-сетях для подрывных или деструктивных кибератак на критически важную инфраструктуру США в случае крупного кризиса или конфликта с Соединенными Штатами.

CISA, АНБ, ФБР и следующие партнеры публикуют это руководство, чтобы предупредить организации критической инфраструктуры об этой оценке, которая основана на наблюдениях за деятельностью агентств США по реагированию на инциденты в организациях критической инфраструктуры, скомпрометированных спонсируемой государством КНР кибергруппой, известной как Volt Typhoon (также известной как Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite и Insidious Taurus).:

  • Министерство энергетики США (DOE)
  • Агентство по охране окружающей среды США (EPA)
  • Управление транспортной безопасности США (TSA)
  • Австралийский центр кибербезопасности (ACSC) Австралийского управления связи (ASD)
  • Канадский центр кибербезопасности (CCCS), входящий в состав Управления безопасности связи (CSE)
  • Национальный центр кибербезопасности Соединенного Королевства (NCSC-Великобритания)
  • Национальный центр кибербезопасности Новой Зеландии (NCSC-NZ)

Авторские агентства США подтвердили, что Volt Typhoon поставил под угрозу ИТ—среды множества организаций критически важной инфраструктуры – в первую очередь в секторах связиэнергетикитранспортных систем и систем водоснабжения и канализации — в континентальных и неконтинентальных Соединенных Штатах и на их территориях, включая Гуам. Выбор целей и модели поведения Volt Typhoon не согласуется с традиционными операциями по кибершпионажу или сбору разведданных, и агентства-разработчики США с высокой степенью уверенности оценивают, что субъекты Volt Typhoon заранее позиционируют себя в ИТ-сетях, чтобы обеспечить боковое перемещение активов OT для нарушения функций. Авторские агентства США обеспокоены возможностью использования этими субъектами своего сетевого доступа для подрывных действий в случае потенциальной геополитической напряженности и / или военных конфликтов. CCCS оценивает, что прямая угроза критической инфраструктуре Канады со стороны субъектов, спонсируемых государством КНР, вероятно, ниже, чем угроза инфраструктуре США, но в случае нарушения работы инфраструктуры США, Канада, вероятно, также пострадает из-за трансграничной интеграции. ACSC и NCSC-NZ ASD оценивают критическую инфраструктуру Австралии и Новой Зеландии соответственно, которая может быть уязвима для аналогичной деятельности субъектов, спонсируемых государством КНР.

Как ранее подчеркивали агентства-разработчики, использование методов “жить за счет земли” (LOTL) является отличительной чертой вредоносной киберактивности участников Volt Typhoon при атаке на критически важную инфраструктуру. Группа также полагается на действительные учетные записи и использует надежную операционную безопасность, что в совокупности обеспечивает долгосрочную сохранность без обнаружения. Фактически, авторские агентства США недавно наблюдали признаки того, что субъекты Volt Typhoon сохраняют доступ и плацдармы в некоторых пострадавших ИТ-средах в течение как минимум пяти лет. Участники Volt Typhoon проводят обширную разведку перед эксплуатацией, чтобы узнать о целевой организации и ее окружении; адаптируют свою тактику, методы и процедуры (TTP) к среде жертвы; и выделяют текущие ресурсы для поддержания постоянства и понимания целевой среды с течением времени, даже после первоначального компромисса.

Агентства-разработчики настоятельно призывают организации критически важной инфраструктуры применять меры по смягчению последствий, описанные в этом руководстве, и отслеживать подобную вредоносную активность, используя приведенные здесь рекомендации, а также рекомендации, содержащиеся в совместном руководстве, по выявлению и смягчению последствий использования наземных методов. Эти меры по смягчению последствий в первую очередь предназначены для ИТ-администраторов и администраторов OT в организациях критически важной инфраструктуры. Принятие мер по предотвращению инцидента или в ответ на него поможет нарушить доступ Volt Typhoon и снизить угрозу для объектов критически важной инфраструктуры.

В случае выявления активности агентства-разработчики настоятельно рекомендуют организациям критической инфраструктуры применить рекомендации по реагированию на инциденты, содержащиеся в этом руководстве, и сообщить об инциденте соответствующему агентству (см. Раздел Контактной информации).

Дополнительную информацию см. В совместном консультативном документе Спонсируемый государством киберпреступник Китайской Народной Республики, живущий за пределами страны, чтобы избежать обнаружения и пресс-релизе Министерства юстиции США (DOJ) Правительство США разрушает ботнет Китайской Народной Республики, используемый для сокрытия взломов критической инфраструктуры. Для получения дополнительной информации о злонамеренной киберактивности, спонсируемой государством КНР, см. Веб-страницу CISA, посвященную Обзору и рекомендациям по киберугрозам в Китае.

Источник

admin
Author: admin