A Volt Typhoon az egyesült államokbeli kritikus infrastruktúrát veszi célba a szárazföldön élő technikákkal

A támadást a Volt Typhoon, egy kínai székhellyel rendelkező, államilag támogatott szereplő hajtotta végre, amely jellemzően kémkedésre és információgyűjtésre összpontosít. A Microsoft mérsékelt bizalommal értékeli, hogy ez a Volt Typhoon kampány olyan képességek kifejlesztésére törekszik, amelyek a jövőbeni válságok során megzavarhatják az Egyesült Államok és az ázsiai régió közötti kritikus kommunikációs infrastruktúráját.

A Volt Typhoon 2021 közepe óta aktív, és kritikus infrastrukturális szervezeteket vett célba Guamban és máshol az Egyesült Államokban. Ebben a kampányban az érintett szervezetek a kommunikációs, gyártási, közüzemi, közlekedési, építőipari, tengeri, kormányzati, informatikai és oktatási ágazatban tevékenykednek. A megfigyelt viselkedés azt sugallja, hogy a fenyegető szereplő kémkedést kíván végrehajtani, és a lehető legtovább észrevétlenül kívánja fenntartani a hozzáférést.

Célja elérése érdekében a fenyegető szereplő nagy hangsúlyt fektet a lopakodásra ebben a kampányban, és szinte kizárólag a terepen élő technikákra és a gyakorlati billentyűzeten végzett tevékenységre támaszkodik. Parancsokat adnak ki a parancssoron keresztül, hogy (1) adatokat gyűjtsenek, beleértve a hitelesítő adatokat a helyi és hálózati rendszerekről, (2) az adatokat egy archív fájlba helyezzék, hogy a kiszivárogtatáshoz előkészítsék, majd (3) az ellopott érvényes hitelesítő adatokat használják a következetesség fenntartásához. Emellett a Volt Typhoon megpróbál elvegyülni a normál hálózati tevékenységben azáltal, hogy a forgalmat veszélyeztetett kis irodai és otthoni irodai (SOHO) hálózati berendezéseken, például útválasztókon, tűzfalakon és VPN hardvereken keresztül irányítja. Azt is megfigyelték, hogy a nyílt forráskódú eszközök egyedi verzióit használják a parancsnoki és irányítási (C2) csatorna létrehozására proxy-n keresztül, hogy még inkább rejtettek maradjanak.

Ebben a blogbejegyzésben a Volt Typhoonról, a kritikus infrastruktúra-szolgáltatókat célzó kampányukról és a célhálózatokhoz való jogosulatlan hozzáférés elérésére és fenntartására irányuló taktikájukról osztunk meg információkat. Mivel ez a tevékenység érvényes fiókokra és a földből való megélhetési (LOLBin) technikákra támaszkodik, a támadás felderítése és enyhítése kihívást jelenthet. A kompromittált fiókokat le kell zárni vagy meg kell változtatni. A blogbejegyzésvégén további kezelési lépéseket és ajánlott eljárásokat osztunk meg, valamint részletesen ismertetjük, hogyan észleli a Microsoft 365 Defender a rosszindulatú és gyanús tevékenységeket, hogy megvédje a szervezeteket az ilyen lopakodó támadásoktól. A Nemzetbiztonsági Ügynökség (NSA) közzétett egy kiberbiztonsági tanácsadási nyilatkozatot [PDF] , amely a blogban tárgyalt taktikák, technikák és eljárások (TTP-k) vadászati útmutatóját tartalmazza. További információt a teljes blogban talál.

Mint minden megfigyelt nemzetállami szereplői tevékenység esetében, a Microsoft közvetlenül értesítette a megcélzott vagy veszélyeztetett ügyfeleket, fontos információkat szolgáltatva számukra a környezetük védelméhez. A Microsoft fenyegetőszereplők nyomon követésére vonatkozó megközelítéséről a Microsoft új fenyegetőszereplő-elnevezési taxonómiát vezet be című lapon olvashat