Volt Typhoon - cichy intruz w sercu amerykańskiej infrastruktury krytycznej
Volt Typhoon - analiza chińskiej grupy APT, która przez lata ukrywała się w sieciach infrastruktury krytycznej USA, nie kradnąc danych i nie instalując malware. Techniki living-off-the-land, botnet KV, wspólne ostrzeżenie CISA/NSA/FBI.
Wyobraźmy sobie pokój kontrolny amerykańskiego przedsiębiorstwa wodociągowego gdzieś na zachodnim wybrzeżu. Jest rok 2023. Systemy działają bez zarzutu. Żadnych alertów, żadnych anomalii, żadnych podejrzanych logów. Administrator sieci kończy zmianę, zamyka laptop i wraca do domu. Nie wie - i nie dowie się jeszcze przez wiele miesięcy - że ktoś właśnie użył jego danych logowania, żeby sprawdzić topologię sieci, zmapować systemy sterowania i cicho przejść do kolejnego segmentu infrastruktury. Ktoś, kto jest w tej sieci od dwóch lat. Ktoś, kto nigdy nie zainstalował żadnego złośliwego oprogramowania. Ktoś, kto posługuje się wyłącznie narzędziami, które administrator sam zainstalował.
To nie jest scenariusz z technothrillera. To Volt Typhoon - chińska operacja cybernetyczna, która redefiniuje pojęcie zagrożenia dla infrastruktury krytycznej. Nie dlatego, że cokolwiek zniszczyła. Lecz dlatego, że niczego nie zniszczyła - jeszcze.
Odkrycie - maj 2023
24 maja 2023 roku zespół Microsoft Threat Intelligence opublikował raport, który wywołał falę niepokoju w środowiskach bezpieczeństwa na całym świecie. Analitycy zidentyfikowali grupę, którą nazwali Volt Typhoon - aktora powiązanego z Chińską Republiką Ludową, aktywnego co najmniej od połowy 2021 roku. Grupa systematycznie penetrowała sieci infrastruktury krytycznej w Stanach Zjednoczonych i na terytorium Guam.
Ale to, co naprawdę zaniepokoiło analityków, nie było samym faktem włamania. Państwowe grupy APT włamują się do cudzych sieci od lat - to brutalna rzeczywistość współczesnej geopolityki. Niepokojące było to, czego Volt Typhoon nie robił. Nie kradł własności intelektualnej. Nie eksfiltrował danych osobowych. Nie szyfrował dysków i nie żądał okupu. Nie instalował backdoorów ani customowych implantów.
Zamiast tego - po prostu tam był. Cierpliwie, systematycznie i niemal niewidzialnie utrzymywał dostęp do sieci, które kontrolują wodę, prąd, telekomunikację i transport.
Pytanie, które zadali sobie wszyscy: po co?
Chronologia wydarzeń
| Data | Wydarzenie |
|---|---|
| ok. 2021 | Volt Typhoon rozpoczyna operacje; pierwsze włamania do sieci infrastruktury krytycznej USA |
| 2023 (24 maja) | Microsoft publikuje raport identyfikujący Volt Typhoon; równoległe ostrzeżenie CISA, NSA, FBI i sojuszników z Five Eyes (advisory AA23-144A) |
| 2023 (maj-grudzień) | Kolejne firmy bezpieczeństwa potwierdzają aktywność grupy: Palo Alto Unit 42, Secureworks, CrowdStrike, Lumen Technologies |
| 2023 (grudzień) | Lumen Technologies ujawnia botnet KV - sieć przejętych routerów SOHO używanych przez Volt Typhoon do maskowania ruchu |
| 2024 (31 stycznia) | FBI ogłasza rozbicie botnetu KV - operacja sądowa umożliwiła zdalne usunięcie malware z setek routerów |
| 2024 (7 lutego) | CISA, NSA i FBI publikują wspólny advisory AA24-038A - potwierdzenie, że Volt Typhoon utrzymywał dostęp do niektórych sieci przez co najmniej pięć lat |
| 2024 (19 marca) | CISA i partnerzy publikują arkusz informacyjny dla kadry zarządzającej o zagrożeniu Volt Typhoon |
| 2024 (listopad) | Raporty wskazują, że Volt Typhoon odbudowuje infrastrukturę botnetową po interwencji FBI |
Living off the land - atak bez malware
Żeby zrozumieć, dlaczego Volt Typhoon był tak trudny do wykrycia, trzeba zrozumieć jedną fundamentalną rzecz: ta grupa prawie nigdy nie używała złośliwego oprogramowania. Zamiast tego stosowała technikę znaną jako “living off the land” (LOTL) - dosłownie “życie z tego, co daje ziemia”. W kontekście cyberbezpieczeństwa oznacza to używanie narzędzi, które są już zainstalowane w systemie operacyjnym.
Pomyślmy o tym w ten sposób. Klasyczny atak zostawia ślady - pliki wykonywalne, anomalne procesy, podejrzane połączenia sieciowe. Systemy EDR potrafią takie artefakty wykryć. Ale co, jeśli atakujący używa wyłącznie narzędzi, których używa sam administrator?
Narzędzia Volt Typhoon
| Narzędzie | Zastosowanie przez atakującego |
|---|---|
| PowerShell | Zbieranie informacji o systemie, automatyzacja zadań, komunikacja z innymi hostami |
| wmic (Windows Management Instrumentation) | Zdalne wykonywanie poleceń, inwentaryzacja systemów |
| ntdsutil | Ekstrakcja bazy danych Active Directory (NTDS.dit) zawierającej skróty haseł |
| netsh | Konfiguracja proxy, przekierowanie portów, mapowanie sieci |
| certutil | Pobieranie plików z zewnętrznych serwerów (nadużycie narzędzia do zarządzania certyfikatami) |
| xcopy | Kopiowanie danych między systemami |
Każde z tych narzędzi jest legalnym komponentem systemu Windows. Każde z nich jest codziennie używane przez administratorów na całym świecie. Kiedy system SIEM widzi, że ktoś uruchomił wmic na serwerze - czy to anomalia, czy rutynowe zadanie administracyjne? Właśnie na tej niejednoznaczności opiera się cała strategia Volt Typhoon.
Grupa przeprowadzała również rozległy rekonesans przed właściwym atakiem - mapowała topologię sieci, identyfikowała mechanizmy zabezpieczeń, analizowała wzorce zachowań użytkowników i ustalała, kim są kluczowi administratorzy. Po uzyskaniu dostępu poruszała się lateralnie z precyzją kogoś, kto doskonale zna środowisko.
Więcej o tym, jak frameworki takie jak MITRE ATT&CK pomagają mapować tego typu techniki, opisujemy w artykule MITRE ATT&CK - praktyczny przewodnik.
Cele - dlaczego akurat te sektory
Wspólny advisory CISA, NSA i FBI z lutego 2024 roku (AA24-038A) potwierdził, że Volt Typhoon skoncentrował się na czterech sektorach infrastruktury krytycznej:
- Wodociągi i oczyszczalnie ścieków - systemy uzdatniania wody, pompownie, infrastruktura SCADA
- Energetyka - sieci elektroenergetyczne, systemy przesyłu i dystrybucji
- Telekomunikacja - operatorzy sieci, systemy łączności satelitarnej
- Transport - systemy sterowania ruchem, infrastruktura portowa i lotnicza
Szczególne znaczenie miała aktywność na Guam - wyspie na zachodnim Pacyfiku, na której znajdują się trzy amerykańskie bazy wojskowe. Guam jest kluczowym elementem projekcji siły militarnej USA w regionie Indo-Pacyfiku. W razie konfliktu zbrojnego dotyczącego Tajwanu, bazy na Guam stanowiłyby jeden z głównych punktów mobilizacyjnych dla amerykańskiej marynarki wojennej i sił powietrznych. Lokalne przedsiębiorstwo energetyczne Guam Power Authority dostarcza około 20% produkowanej energii bezpośrednio US Navy.
Wyłączenie prądu, wody lub łączności na Guam w krytycznym momencie nie byłoby aktem kradzieży. Byłoby aktem sabotażu o wymiarze strategicznym.
Botnet KV - niewidzialna infrastruktura
Volt Typhoon potrzebował sposobu, żeby ukryć źródło swojego ruchu sieciowego. Rozwiązanie było eleganckie w swojej prostocie - przejąć setki domowych i biurowych routerów (SOHO), zainfekować je malware nazwanym KV Botnet i używać ich jako proxy.
Urządzenia, które padły ofiarą, to głównie:
- Routery Cisco RV320 (wycofane z supportu producenta)
- Routery Netgear ProSAFE (end-of-life)
- Routery DrayTek Vigor
- Kamery IP Axis
Wspólny mianownik? Wszystkie te urządzenia osiągnęły koniec cyklu życia - producenci nie wydawali już dla nich łatek bezpieczeństwa. Volt Typhoon systematycznie wyszukiwał takie “cyfrowe sieroty” i przejmował nad nimi kontrolę. Ruch sieciowy kierowany przez sieć setek domowych routerów w USA wyglądał jak normalny ruch internetowy - nie z Szanghaju, lecz z przedmieść Des Moines czy Tulsy.
31 stycznia 2024 roku FBI ogłosiło, że na podstawie nakazu sądowego zdalnie usunęło malware KV Botnet z setek przejętych routerów. Ale samo FBI przyznało, że to rozwiązanie jest tymczasowe - restart urządzenia bez dodatkowych zabezpieczeń wystarczył do ponownej infekcji. Do końca 2024 roku pojawiły się raporty, że Volt Typhoon odbudowuje swoją infrastrukturę botnetową.
Prepozycjonowanie - groźniejsze niż ransomware
I tu dochodzimy do sedna sprawy. Volt Typhoon nie jest grupą ransomware. Nie jest typową grupą szpiegowską. Agencje bezpieczeństwa USA - CISA, NSA i FBI - jednoznacznie stwierdziły w advisory AA24-038A, że celem operacji jest prepozycjonowanie: zajęcie pozycji wewnątrz sieci infrastruktury krytycznej, żeby w razie kryzysu geopolitycznego - na przykład konfliktu o Tajwan - mieć możliwość przeprowadzenia destrukcyjnych cyberataków.
To fundamentalna zmiana w krajobrazie zagrożeń. Ransomware jest głośne, natychmiastowe i motywowane finansowo. Prepozycjonowanie jest ciche, cierpliwe i motywowane strategicznie. Ransomware szyfruje dane dzisiaj. Prepozycjonowanie daje możliwość wyłączenia prądu, wody albo łączności - ale jutro, za miesiąc, za rok. Wtedy, kiedy to będzie najbardziej bolesne.
Jest to logika znana z doktryny wojennej: nie atakujesz, kiedy możesz. Atakujesz, kiedy musisz. A żeby móc zaatakować, kiedy musisz, musisz wcześniej zająć pozycję. Volt Typhoon zajmuje pozycję.
Agencje potwierdziły, że w niektórych przypadkach grupa utrzymywała dostęp do skompromitowanych sieci przez co najmniej pięć lat - od 2019 roku. Pięć lat cierpliwego, niewidzialnego, systematycznego utrzymywania przyczółka.
MITRE ATT&CK - profil grupy G1017
Volt Typhoon jest katalogowany w bazie MITRE ATT&CK jako grupa G1017 (znana również pod nazwami Bronze Silhouette, Vanguard Panda, DEV-0391, Insidious Taurus, Voltzite). Kluczowe techniki:
| Technika MITRE ATT&CK | ID | Opis |
|---|---|---|
| Valid Accounts | T1078 | Logowanie przy użyciu skradzionych lub przejętych danych uwierzytelniających |
| Command and Scripting Interpreter: PowerShell | T1059.001 | Automatyzacja rekonesansu i ruchu lateralnego |
| OS Credential Dumping: NTDS | T1003.003 | Ekstrakcja haseł z bazy Active Directory |
| Proxy: Multi-hop Proxy | T1090.003 | Maskowanie ruchu przez botnet KV |
| Network Service Discovery | T1046 | Mapowanie topologii sieci ofiary |
| Indicator Removal | T1070 | Usuwanie logów i śladów aktywności |
Wnioski dla operatorów infrastruktury krytycznej
Volt Typhoon zmienia zasady gry - nie dlatego, że wymyślił nową technikę, lecz dlatego, że pokazał, jak skuteczna jest cierpliwość w połączeniu z prostotą. Nie potrzebujesz zero-dayów, jeśli twój cel ma niezałatane routery na brzegu sieci. Nie potrzebujesz customowego malware, jeśli twój cel nie monitoruje, kto uruchamia PowerShell o trzeciej w nocy.
Kluczowe lekcje:
- Monitoruj narzędzia administracyjne - samo uruchomienie
wmic,ntdsutilczycertutilpowinno generować alert, jeśli wykonuje je konto, które normalnie tego nie robi, albo o nietypowej porze - Segmentuj sieci OT od IT - Volt Typhoon poruszał się lateralnie przez sieci IT, żeby zbliżyć się do systemów sterowania. Skuteczna segmentacja sieci i kontrola zdalnego dostępu do systemów ICS to podstawa obrony
- Wymieniaj sprzęt end-of-life - routery SOHO, które nie otrzymują łatek, to otwarte drzwi do twojej infrastruktury
- Centralizuj i analizuj logi - CISA podkreśla, że domyślne konfiguracje logowania są niewystarczające. Aplikacje, dostęp, zdarzenia bezpieczeństwa - wszystko powinno trafiać do centralnego systemu SIEM
- Wdrożyj MFA odporne na phishing - skradzione dane logowania to główny wektor wejścia Volt Typhoon. Tradycyjne hasła, nawet silne, nie wystarczą
Epilog
W styczniu 2024 roku, podczas przesłuchania w Kongresie USA, dyrektor FBI Christopher Wray powiedział: “Chińscy hakerzy pozycjonują się w amerykańskiej infrastrukturze w ramach przygotowań do spustoszenia i wyrządzenia rzeczywistych szkód amerykańskim obywatelom i społecznościom, jeśli i kiedy Chiny zdecydują, że nadszedł czas na uderzenie.”
To zdanie powinno dać do myślenia każdemu, kto zarządza infrastrukturą krytyczną - nie tylko w Stanach Zjednoczonych. Techniki Volt Typhoon nie są unikalne dla jednego aktora ani jednego regionu. Living off the land działa tak samo w sieci wodociągowej w Teksasie jak w sieci energetycznej w Europie. Brak malware nie oznacza braku zagrożenia. Cisza nie oznacza bezpieczeństwa.
Czasem najgroźniejszy intruz to ten, którego nie widać.
Źródła
- Microsoft Threat Intelligence - Volt Typhoon targets US critical infrastructure with living-off-the-land techniques (2023)
- CISA Advisory AA23-144A - PRC State-Sponsored Cyber Actor Living off the Land to Evade Detection
- CISA Advisory AA24-038A - PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure
- MITRE ATT&CK - Volt Typhoon, Group G1017
- Lumen Technologies - KV-botnet: Insights into Covert Network Tactics
- SecurityWeek - US Gov Disrupts SOHO Router Botnet Used by Chinese APT Volt Typhoon
- CISA - Joint Fact Sheet for Leaders on PRC-sponsored Volt Typhoon Cyber Activity
- Palo Alto Unit 42 - Threat Brief: Attacks on Critical Infrastructure Attributed to Insidious Taurus