Napredna hakerska grupa Volt, također poznata kao Volt Typhoon, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (Advanced persistent threat). To su organizirane skupine ljudi koji izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.

Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (factory default logins) i uređaja koji se nisu redovito ažurirali.

Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (logs) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (living off the land) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje control and command (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu. Ova taktika otežava rad EDR (endpoint detection and response) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.

Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod Resource Development.
Slika 1: Dijagram napada hakerske grupe Volt [3]

Volt je na mnogo načina sličan tradicionalnom botnetu jer preuzima kontrolu nad ranjivim uređajima poput rutera i sigurnosnih kamera te se tako skriva i stvara uporište kako bi taj sustav koristio za pokretanje budućih napada. Zbog ovakvog načina infiltriranja i rada je stručnjacima za kibernetičku sigurnost teško odrediti izvor napada.

Kao što je spomenuto ranije u seminaru, američka vlada je otkrila sumnjive aktivnosti na svojim sustavima u Americi i u Guamu. Tvrde da su te aktivnosti pokazatelj da netko izvana pokušava sakupiti informacije o američkoj kritičnoj infrastrukturi i vojnim sposobnostima. Microsoft i druge agencije tvrde da bi ovi napadi mogli biti priprema za potencijalni budući napad na američku kritičnu infrastrukturu [3].

Singtel, odnosno Singapore Telecommunications Ltd., je najveći mobilni operater u Singapuru. Objavljene su vijesti [4] da su u lipnju 2024. Singtel napali hakeri koje Kina sponzorira. Pisac članka tvrdi da je prema anonimnim istražiteljima napada glavni krivac za napad Volt Typhoon koji je napao Singtel u sklopu šire kampanje protiv telekomunikacijskih kompanija i drugih operatera kritične infrastrukture diljem svijeta. Savez za razmjenu obavještajnih podataka „Pet očiju“ (Five Eyes), koji čine dužnosnici u SAD-u, Australiji, Kanadi, Ujedinjenom Kraljevstvu i na Novom Zelandu, upozorili su ranije u 2024. godini da se Volt Typhoon ubacuje u ugrožene IT mreže kako bi Kini dao mogućnost provođenja razornih kibernetičkih napada u slučaju vojnog sukoba sa zapadnim zemljama.

Nakon te situacije, izašao je članak [5] u studenom 2024. godine u kojem Singtel tvrdi da su uništili zlonamjerni softver (malware) nakon te prijetnje. Agencija za kibernetičku sigurnost Singapura (CSA) i Infocomm Media Development Authority (IMDA) rekli su kako su saznali od Singtela da nijedna usluga nije pogođena niti da je prijavljen gubitak podataka.

[1] Wikipedija, Volt Typhoon: https://en.wikipedia.org/wiki/Volt_Typhoon
[2] CIS, Advanced Persistent Threat napadi: https://www.cis.hr/dokumenti/2988-advanced-persistent-threat-napadi.html
[3] Microsoft, Volt Typhoon targets US critical infrastructure with living-off-the-land techniques: https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
[4] Bloomberg, Chinese Group Accused of Hacking Singtel in Telecom Attacks: https://www.bloomberg.com/news/articles/2024-11-05/chinese-group-accused-of-hacking-singtel-in-telecom-attacks
[5] Channel News Asia, Singtel detected and 'eradicated' malware said to be from Chinese hacking group: https://www.channelnewsasia.com/singapore/singtel-malware-chinese-hacking-group-volt-typhoon-4724931