De Amerikaanse overheid heeft samen met autoriteiten uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk bestuurders in de vitale infrastructuur gewaarschuwd voor aanvallen door een spionagegroep genaamd Volt Typhoon (pdf). Volgens de autoriteiten is er sprake van een 'urgent risico' en is het belangrijk dat bestuurders van vitale organisaties in actie komen, waarbij met name het belang van logbestanden wordt benadrukt.

Volt Typhoon is volgens de autoriteiten een vanuit China opererende spionagegroep. Onlangs werd bekend dat de FBI van honderden Cisco- en Netgear-routers malware had verwijderd die aan de groep wordt toegeschreven. In februari van dit jaar waarschuwden de autoriteiten dat Volt Typhoon zich in een positie probeert te plaatsen om in het geval van een grote crisis of conflict met de VS 'vernietigende cyberaanvallen' tegen de Amerikaanse vitale infrastructuur uit te voeren.

"Dit is een zeer ernstig bedrijfsrisico voor elke organisatie in de Verenigde Staten en bevriende landen", zo stellen de autoriteiten in de nieuwste 'fact sheet'. Daarin worden bestuurders van vitale organisaties geadviseerd om geïnformeerde beslissingen te nemen over het toekennen van middelen, het beveiligen van de supplychain en het stimuleren van een cybersecuritycultuur. Het gaat dan onder andere om het trainen van personeel en het blijven ontwikkelen van vaardigheden.

Logbestanden

Als er iets is dat vitale organisaties ook moet doen is dat het inschakelen van logging, voor zowel toegang als security, waarbij logbestanden in een centraal systeem worden opgeslagen. Dit wordt specifiek door de autoriteiten genoemd als een zeer belangrijke maatregel. "Robuuste logging is noodzakelijk voor het detecteren en mitigeren van living of the land-aanvallen. Vraag je teams welke logs ze beheren, aangezien bepaalde logs commando's bevatten die Volt Typhoon gebruikt. Als je it-teams geen relevante logs hebben, vraag dan welke middelen ze nodig hebben om aanvallen te detecteren", aldus het advies aan bestuurders. Bij living of the land-aanvallen maken aanvallers misbruik van bestanden, programma's en tools die al op gecompromitteerde systemen aanwezig zijn.