Volt Typhoon – призрак китайских хакеров или паранойя Запада

Национальное агентство по кибербезопасности Китая столкнулось с обвинениями в искажении данных западных ИБ-компаний.

Trellix поделилась с The Record Media своим ответом на доклад CVERC, в котором утверждается, что разведывательный альянс Five Eyes («Пять глаз») сфабриковал доказательства кибератак. В Trellix заявили, что правительство Китая пытается опровергнуть обвинения о причастности поддерживаемой Пекином хакерской группы к атакам на критически важную инфраструктуру Запада.

Хакерские группы Volt Typhoon и Bronze Silhouette предпринимают значительные усилия, чтобы скрыть свои связи с Китаем, что свидетельствует о растущей чувствительности Пекина к обвинениям в кибератаках. В феврале агентство CISA предупредило, что хакеры стремятся закрепиться в IT-сетях для возможных разрушительных атак на критически важную инфраструктуру США в случае кризиса или конфликта с США.

После предупреждения CISA, CVERC и англоязычная версия газеты Global Times (контролируется Коммунистической партией Китая) заявили, что подобной угрозы не существует. В докладе CVERC, скоординированном с другой статьей в Global Times, утверждается, что Volt Typhoon – кампания по дезинформации, намеренно приписывающая кибератаки группы Dark Power китайскому государству.

По данным Trellix, Dark Power — это целенаправленная операция по вымогательству. Организации-жертвы не имеют между собой чёткой связи и располагаются в разных странах (в том числе в США, Франции, Израиле, Турции, Чехии, Алжире, Египте и Перу). Первая атака была зафиксирована специалистами в конце января 2023 года. Так как кампания не рекламировалась на хакерских форумах или в даркнет-пространствах, вероятнее всего, это частный проект.

Доклад CVERC содержит множество грамматических и орфографических ошибок, даже в названиях китайских учреждений. В одном из случаев Северо-Западный политехнический университет (Northwestern Polytechnical University) был назван Северо-Западным пиротехническим университетом (Northwestern Pyrotechnical University). Компания SentinelOne отметила, что политехнический университет, возможно, был соавтором доклада вместе с Global Times.

Доклад CVERC искажает термины анализа разведки, утверждая о разногласиях между оценками CISA и частными ИБ-компаниями в отношении деятельности хакеров. CVERC цитирует Mandiant, которая со «средней уверенностью» связывает деятельность UNC5291 с Volt Typhoon, нацеленной на энергетический и оборонный секторы США.

Mandiant сообщила, что наблюдала кампанию группы UNC5291, исследующую устройства Ivanti Connect Secure в январе, но не зафиксировала успешного взлома со стороны Volt Typhoon. CVERC интерпретировало это как противоречие предупреждению CISA об эксплуатации уязвимости в Ivanti Connect Secure.

Доклад CVERC также ссылался на отчеты Trellix и ThreatMon , включающие хэш образца программ-вымогателей Dark Power, который компании связали с IP-адресами группы Volt Typhoon. В Trellix заявили, что их исследование не подтверждает связь между Dark Power и Volt Typhoon, а CVERC использует блог Trellix для дезинформации.

Ни Mandiant, ни ThreatMon не ответили на запросы о комментариях. Другие ИБ-компании, включая Bitdefender, Secureworks и Microsoft, также сообщали о случаях, приписываемых Volt Typhoon, в которых хакеры нацеливались на критически важную инфраструктуру США.