Volt Typhoon си набелязва за мишена критична инфраструктура на САЩ с техники, използващи налични инструменти в системата на набелязаната цел

Атаката е извършена от Volt Typhoon, действащо лице, спонсорирано от държавата и базирано в Китай, което обикновено се фокусира върху шпионаж и събиране на информация. Microsoft оценява с умерена увереност, че тази кампания на Volt Typhoon преследва развитие на способности, които биха могли да разрушат критична комуникационна инфраструктура между Съединените щати и региона на Азия по време на бъдещи кризи.

Volt Typhoon е активен от средата на 2021 г. и е набелязал за цел критични инфраструктурни организации в Гуам и на други места в Съединените щати. В тази кампания засегнатите организации са от сектора на комуникациите, производството, комуналните услуги, транспорта, строителството, мореплаването, държавните структури, информационните технологии и образованието. Наблюдаваното поведение предполага, че извършителят, представляващ заплаха, възнамерява да извършва шпионаж и да поддържа достъп без да бъде открит възможно най-дълго.

За да постигне целта си, извършителят, представляващ заплаха, поставя силен акцент върху невидимостта в тази кампания, разчитайки почти изключително натехники, използващи налични инструменти в системата на набелязаната цел,и дейност с клавиатурата. Той издава команди чрез командния ред, за да (1) събира данни, включително идентификационни данни от локални и мрежови системи, (2)поставя данните в архивен файл, за да ги подготви за ексфилтриране, и (3) използва откраднатите валидни идентификационни данни след това, за да поддържа постоянство. В допълнение, Volt Typhoon се опитва да се слее с нормалната мрежова дейност, като маршрутизира трафика през компрометирано мрежово оборудване за малък офис и домашен офис (SOHO), включително маршрутизатори, защитни стени и хардуер за VPN. Наблюдавано е също, че използва персонализирани версии на инструменти с отворен код, за да установи команден и контролен (C2) канал през прокси сървър, за да остане неоткрит.

В тази публикация в блогсподеляме информация за Volt Typhoon, неговата кампания, насочена към доставчици на критична инфраструктура, и неговите тактики за постигане и поддържане на неупълномощен достъп до набелязаните мрежи. Тъй като тази дейност разчита на валидни акаунти и двоични файлове в системата на набелязаната цел (LOLBins), откриването и смекчаването на тази атака може да бъде предизвикателство. Компрометираните акаунти трябва да бъдат затворени или променени. В края на тази публикация в блогсподеляме още стъпки и най-добри практики за смекчаване, както и предоставяме подробности за това как Microsoft 365 Defender открива злонамерена и подозрителна дейност, за да защити организациите от такива скрити атаки. Агенцията за национална сигурност (NSA) също така публикува препоръка за киберсигурност [PDF], която съдържа ръководство за проактивно търсене за тактиките, техниките и процедурите (TTP), обсъждани в този блог. Вижте цялата публикация в блога за повече информация.

Както при всяка наблюдавана дейност на извършител, насочван от държава, Microsoft директно е уведомил набелязаните за цел или компрометирани клиенти, предоставяйки им важна информация, необходима за защита на техните среди. За да научите за подхода на Microsoft към проследяването на извършители, представляващи заплаха, прочетете Microsoft преминава към нова класифицираща система за именуване на извършители, представляващи заплаха