Volt Typhoon kohdistaa LOTL-tekniikoita Yhdysvaltojen kriittiseen infrastruktuuriin

Hyökkäyksen suorittaa Volt Typhoon, Kiinan valtion tukema toimija, joka yleensä keskittyy vakoiluun ja tietojen keräämiseen. Microsoft arvioi kohtalaisella luotettavuudella, että Volt Typhoonin kampanja tavoittelee sellaisten ominaisuuksien kehittämistä, jotka voisivat häiritä Yhdysvaltojen ja Aasian alueen kriittistä viestintäinfrastruktuuria tulevien kriisien aikana.

Volt Typhoon on ollut aktiivinen vuoden 2021 puolivälistä lähtien. Se on kohdistanut hyökkäyksiä kriittisen infrastruktuurin organisaatioihin Guamissa ja muualla Yhdysvalloissa. Tämän kampanjan organisaatiot kuuluvat viestinnän, teollisuuden, kulutushyödykkeiden, liikenteen, rakennusalan, merenkulun, valtionhallinnon, tietotekniikan ja opetuksen sektoreihin. Havaittu toiminta viittaa siihen, että uhkaava toimija pyrkii suorittamaan vakoilua ja säilyttämään käyttöoikeuden mahdollisimman pitkään ennen havaituksi tulemista.

Tavoitteen saavuttamiseksi uhkaava toimija keskittyy kampanjassa salaiseen toimintaan ja käyttää lähes ainoastaan LOTL-tekniikoita ja manuaalista toimintaa. Komentoja lähetetään komentorivin kautta (1) tietojen keräämiseksi, mukaan lukien paikallisten ja verkkojärjestelmien tunnistetiedot, (2) tietojen säilömiseksi arkistotiedostoon, jotta ne voidaan siirtää luvatta, sekä (3) varastettujen, toimivien tunnistetietojen käyttämiseksi mahdollisimman pitkällä aikavälillä. Lisäksi Volt Typhoon yrittää sulautua normaaliin verkkotoimintaan reitittämällä liikennettä pienten ja kotitoimistojen (SOHO) vaarantuneiden verkkolaitteiden, kuten reitittimien, palomuurien ja VPN-laitteiston, kautta. Lisäksi he ovat käyttäneet avoimeen lähdekoodiin perustuvien työkalujen mukautettuja versioita luodakseen komentojen ja hallinnan C2-kanavan välityspalvelimen kautta, jotta toiminta jäisi huomaamatta.

Tässä blogikirjoituksessa jaamme tietoa Volt Typhoonista, heidän kriittisen infrastruktuurin toimijoihin kohdistuvasta kampanjastaan sekä heidän taktiikoistaan, joilla pyritään saamaan ja säilyttämään luvaton pääsy kohdeverkkoihin. Koska toiminta perustuu todellisiin tileihin ja LOLBins-binaareihin, hyökkäyksen havaitseminen ja lieventäminen voi olla haastavaa. Vaarantuneet tilit täytyy sulkea tai vaihtaa. Tämän blogikirjoituksen lopussa jaamme lisää lieventämisvaiheita sekä parhaita käytäntöjä ja annamme tietoja Microsoft 365 Defenderin kyvystä havaita haitallista ja epäilyttävää toimintaa organisaatioiden suojaamiseksi salaisilta hyökkäyksiltä. The National Security Agency (NSA) on myös julkaissut Cybersecurity Advisory [PDF] -ohjeet , jotka sisältävät etsintäoppaan tässä blogissa esiteltyjä taktiikoita, tekniikoita ja menetelmiä varten. Tutustu blogikirjoitukseen kokonaisuudessaan saadaksesi lisätietoja.

Kuten minkä tahansa muun kansallisvaltiotoimijan suorittaman havaitun toiminnan kohdalla, Microsoft on ilmoittanut suoraan kohdennetuille ja vaarantuneille asiakkaille ja antanut heille tärkeää tietoa ympäristöjensä suojaamiseksi. Jos haluat lisätietoja Microsoftin lähestymistavasta uhkaavien toimijoiden seurantaan, lue artikkeli Microsoft siirtyy uuteen uhkaavien toimijoiden nimeämisen taksonomiaan