Volt Typhoon infiltriert kritische US-Infrastruktur mit LOTL-Techniken (Living off the Land)

Hinter den Angriffen steht Volt Typhoon, ein staatlich finanzierter Bedrohungsakteur aus China, der vorwiegend durch Spionage und illegale Informationsbeschaffung auffällt. Microsoft geht mit einiger Sicherheit davon aus, dass diese Volt Typhoon-Kampagne auf die Entwicklung von Fähigkeiten abzielt, die bei künftigen Krisen die kritische Kommunikationsinfrastruktur zwischen den Vereinigten Staaten und Asien stören könnten.

Volt Typhoon ist seit Mitte 2021 aktiv und hat Organisationen mit kritischer Infrastruktur in Guam und in anderen Teilen der Vereinigten Staaten ins Visier genommen. Diese Kampagne richtet sich gegen Organisationen in den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, öffentliche Verwaltung, Informationstechnologie und Bildung. Das beobachtete Verhalten deutet darauf hin, dass der Bedrohungsakteur die Absicht hat, Spionage zu betreiben und so lange wie möglich unentdeckt zu bleiben.

Um sein Ziel zu erreichen, agiert der Bedrohungsakteur in dieser Kampagne überwiegend verdeckt und setzt fast ausschließlich auf LOTL (Living off the Land)- und Hands-on-Keyboard-Techniken. Befehle werden über die Befehlszeile ausgeführt, um (1) Daten einschließlich Anmeldeinformationen von lokalen und Netzwerksystemen zu sammeln, (2) die Daten zur Vorbereitung der Exfiltration in einer Archivdatei zu speichern und (3) sich über die gestohlenen gültigen Anmeldeinformationen im System festzusetzen. Darüber hinaus versucht Volt Typhoon, im normalen Netzwerkbetrieb Fuß zu fassen, indem der Datenverkehr über kompromittierte SOHO-Netzwerkgeräte (Small Office and Home Office) wie etwa Router, Firewalls und VPN-Hardware geleitet wird. Es wurde auch beobachtet, dass manipulierte Versionen von Open-Source-Tools verwendet werden, um einen Command-and-Control-Kanal (C2) über einen Proxy einzurichten und so unter dem Radar zu bleiben.

In diesem Blogbeitrag informieren wir über Volt Typhoon, die auf Betreiber kritischer Infrastrukturen abzielende Kampagne und die Taktiken, mit denen der Bedrohungsakteur unbefugt in Zielnetzwerke eindringt und sich darin festsetzt. Da diese Aktivität auf gültigen Konten und LOLBins (Living-off-the-Land Binaries) basiert, kann es schwierig sein, Angriffe zu erkennen und zu bekämpfen. Kompromittierte Konten müssen gesperrt oder geändert werden. Am Ende dieses Blogbeitrags stellen wir weitere Schritte und Best Practices zur Risikominderung vor und erläutern, wie Microsoft 365 Defender bösartige und verdächtige Aktivitäten erkennt, um Unternehmen vor solchen verdeckten Angriffen zu schützen. Die National Security Agency (NSA) hat außerdem ein Cybersecurity Advisory [PDF] veröffentlicht, das einen Leitfaden für die in diesem Blog erörterten Taktiken, Techniken und Verfahren enthält. Lesen Sie den Blogbeitrag, um weitere Informationen zu erhalten.

Wie bei allen beobachteten Aktivitäten staatlicher Akteure hat Microsoft die betroffenen oder kompromittierten Kunden direkt informiert und ihnen wichtige Informationen zur Sicherung ihrer Umgebungen zur Verfügung gestellt. Um mehr über die Verfolgung von Bedrohungsakteuren durch Microsoft zu erfahren, lesen Sie hier, wie Microsoft eine neue Taxonomie zur Benennung von Bedrohungsakteuren einführt.