Die US-Regierung hat am Mittwoch bekannt gegeben, dass die chinesische staatlich unterstützte Hackergruppe Volt Typhoon seit mindestens fünf Jahren in einigen kritischen Infrastrukturnetzwerken im Land eingebettet ist. Die Zielgruppen des Bedrohungsakteurs umfassen die Kommunikations-, Energie-, Transport-, Wasser- und Abwassersysteme-Sektoren in den USA und Guam. Die US-Regierung sagte: „Die Wahl der Ziele und das Verhaltensmuster von Volt Typhoon entsprechen nicht den traditionellen Cyberspionage- oder Nachrichtendienst-Operationen, und die US-amerikanischen Behörden sind sich mit hoher Zuversicht bewusst, dass die Akteure von Volt Typhoon sich in IT-Netzwerken positionieren, um eine seitliche Bewegung zu OT-Vermögenswerten zu ermöglichen und Funktionen zu stören.“ Die gemeinsame Mitteilung, die von der Cybersecurity and Infrastructure Security Agency (CISA), der National Security Agency (NSA) und dem Federal Bureau of Investigation (FBI) veröffentlicht wurde, wurde auch von anderen Nationen unterstützt, die Teil der Five Eyes (FVEY) Intelligence Alliance sind, darunter Australien, Kanada, Neuseeland und das Vereinigte Königreich. Volt Typhoon – auch bekannt als Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda oder Voltzite – ist eine heimliche, in China ansässige Cyberspionagegruppe, von der man annimmt, dass sie seit Juni 2021 aktiv ist. Im Mai 2023 wurde sie erstmals öffentlich bekannt, als Microsoft bekannt gab, dass die Hackergemeinschaft es geschafft hatte, über lange Zeiträume hinweg eine dauerhafte Stellung in kritischen Infrastrukturorganisationen in den USA und Guam zu bekommen, ohne entdeckt zu werden, indem sie hauptsächlich „Living-Off-The-Land“ (LotL)-Techniken nutzten. Eine weitere Taktik, die von Volt Typhoon angewendet wird, ist die Verwendung von Multi-Hop-Proxies wie KV-Botnet, um bösartigen Datenverkehr über ein Netzwerk von kompromittierten Routern und Firewalls in den USA zu leiten, um seine wahren Ursprünge zu verschleiern. Das Cybersicherheitsunternehmen CrowdStrike nannte in einem im Juni 2023 veröffentlichten Bericht den umfangreichen Einsatz von Open-Source-Tools gegen eine begrenzte Anzahl von Opfern, um strategische Ziele zu erreichen, als ein weiteres Merkmal von Volt Typhoon. Das nationale Ziel der Kampagne ist es, den Zugang zu den kompromittierten Umgebungen „methodisch“ aufrechtzuerhalten, indem sie diese im Laufe der Jahre wiederholt ins Visier nehmen, um ihren unbefugten Zugriff zu validieren und auszubauen. Laut den Behörden zeigt sich dieser sorgfältige Ansatz in Fällen, in denen sie wiederholt Berechtigungsnachweise aus Domänen exfiltriert haben, um den Zugriff auf aktuelle und gültige Konten zu gewährleisten. Die Entwicklung wurde bekannt, als Citizen Lab ein Netzwerk von mindestens 123 Websites enthüllte, die lokale Nachrichtenportale in 30 Ländern in Europa, Asien und Lateinamerika imitieren und in einer weitreichenden Einflusskampagne pro-chinesische Inhalte verbreiten, die mit einer Pekinger PR-Agentur namens Shenzhen Haimaiyunxiang Media Co., Ltd. in Verbindung gebracht wird. Die digitale Wachhundgruppe aus Toronto, die die Einflussoperation PAPERWALL nannte, sagte, sie weise Ähnlichkeiten mit HaiEnergy auf, habe jedoch unterschiedliche Betreiber und einzigartige Taktiken, Techniken und Verfahren (TTPs). Eine Sprecherin der chinesischen Botschaft in Washington sagte in einer Erklärung gegenüber Reuters: „Es ist ein typisches Vorurteil und Doppelmoral, zu behaupten, dass pro-chinesische Inhalte und Berichte ‚Desinformation‘ seien und die anti-chinesischen Inhalte ‚wahre Informationen‘ seien.“