מזכיר הצי האמריקאי אישר קיומה של מתקפת סייבר של האקרים בחסות ממשלת סין על תשתית הצי האמריקני. בשיחה עם מורגן ברנן מ- CNBC, אמר שר הצי האמריקני – קרלוס דל טורו כי מתקפת הסייבר של ממשלת סין אותה חשפה מיקרוסופט השבוע, השפיעה על הצי. דל טורו אמר שהצי האמריקני רק הושפע ממתקפות הסייבר והוסיף כי "אין זה מפתיע שסין מתנהגת בצורה זו, לא רק בשנתיים האחרונות, אלא במשך עשרות שנים." הוא סירב לספק פרטים נוספים אודות מתקפת הסייבר, אך ציין כי חיל הים מתמודד עם מתקפות סייבר מסוג זה במשך שנים.
החשיפה מגיעה כאשר מיקרוסופט חשפה כי קבוצת Volt Typhoon הנתמכת על ידי סין, מכוונת מאז אמצע 2021 לתשתיות קריטיות בארה"ב כולל מגזרי הייצור, התחבורה והמגזר הימי. משרד החוץ הסיני והעיתונות שבשליטת המדינה דחו את הממצאים של מיקרוסופט ושל קהילת המודיעין כדיסאינפורמציה.
דובר משרד החוץ האמריקאי – מתיו מילר הצהיר כי ממשלת ארה"ב ובעלות בריתה הקרובות פרסמו ייעוץ אבטחת סייבר משותף כדי לסייע להגן, לזהות ולמתן מתקפות סייבר ברשתות המחשוב שלהן. כמו כן ציין כי קהילת המודיעין האמריקאית מעריכה שסין מסוגלת כמעט בוודאות להפעיל מתקפות סייבר העלולות לשבש שירותי תשתית קריטיים בתוך ארה"ב, כולל נגד צינורות נפט, גז ומערכות רכבות. מילר הוסיף כי חיוני למגיני הרשתות הממשלתיות ולציבור להישאר ערניים: "זו הסיבה שממשלת ארה"ב עבדה עם המגזר הפרטי כדי להתכונן כראוי להגנה ואנו נמשיך לעבוד עם בעלי בריתנו ושותפינו כדי לטפל בבעיה קריטית זו".
ייעוץ אבטחת הסייבר של ארה"ב הדגיש פעילות זדונית שבוצעה על ידי קבוצת האקרים של הרפובליקה העממית של סין – Volt Typhoon. הסוכנויות חשפו עד כה כי שותפים במגזר הפרטי זיהו כי פעילות זו משפיעה על רשתות ברחבי מגזרי תשתית קריטיים בארה"ב ומאמינות שההאקר יוכל ליישם את אותן טכניקות כנגד מגזרים אלו ואחרים ברחבי העולם. הם גם זיהו שהקבוצה נמנעה ממוצרי זיהוי ותגובה של נקודות קצה (EDR) שיתריעו על הצגת יישומי צד שלישי ויגבילו את כמות הפעילות הנקלטת בתצורות רישום ברירת מחדל.
מיקרוסופט פירטה כי באמצעות טכניקות living-off-the-land וציתות לפעילות מקלדת, המתקפה בוצעה על ידי Volt Typhoon – קבוצת האקרים בחסות סין המתמקדת בדרך כלל בריגול ואיסוף מידע. מאמצע 2021 כוונו מתקפות אלו למגזרי תשתית קריטיים כולל תקשורת, ייצור, שירות, תחבורה ימית וממשל. על רקע הגילויים הללו דיווח הניו יורק טיימס שבסביבות הזמן שבו בחן ה- FBI את הציוד שהתגלה מבלון הריגול הסיני שהופל מול חופי דרום קרוליינה בפברואר, זיהו סוכנויות הביון האמריקאיות ומיקרוסופט את מה שהם חששו שהוא מדאיג יותר – קוד מחשב מסתורי המופיע במערכות תקשורת בגואם ובמקומות אחרים בארצות הברית. הקוד, שלפי מיקרוסופט הותקן על ידי קבוצת האקרים סינית, עורר אזעקה משום שגואם, עם נמלי האוקיינוס השקט ובסיס חיל אוויר אמריקאי עצום, תהווה חלק מרכזי בכל תגובה צבאית אמריקאית לפלישה או מצור על טייוואן. הניו יורק טיימס ציין כי המבצע הסיני התנהל בהתגנבות, לפעמים דרך נתבים ביתיים ומכשירים נפוצים אחרים המחוברים לאינטרנט, כדי להקשות על המעקב אחר החדירה.
כדי להתגונן מפני מתקפות Volt Typhoon קוראות הסוכנויות לארגונים להקשיח את בקרי הדומיינים שלהם, לנטר יומני אירועים, להגביל את השימוש ב- proxy, לחקור כתובות IP ויציאות חריגות, לסקור תצורות חומת אש היקפית לשינויים בלתי מורשים, לחפש פעילות חריגה במערכות המחשוב ולהעביר קבצי יומן לשרת רישום מרכזי – רצוי ברשת מפולחת. מכיוון שקבוצת Volt Typhoon נוקטת באמצעים כדי להסתיר את עקבותיה כמו למשל על ידי ניקוי יומנים, על מגיני מערכות מחשוב להעביר קבצי יומן לשרת רישום מרכזי מוקשח, רצוי ברשת מפולחת כדי להבטיח שלמות וזמינות היומנים.
