„Volt Typhoon“ taikosi į JAV kritinę infrastruktūrą taikant metodus, kai operacinėje sistemoje esantys ištekliai yra naudojami kenkėjiškoms atakoms vykdyti
Ataką vykdė „Volt Typhoon“, Kinijoje įsikūrusi valstybės remiama organizacija, kuri paprastai užsiima šnipinėjimu ir informacijos rinkimu. „Microsoft“ pakankamai užtikrintai vertina, kad ši „Volt Typhoon“ kampanija plėtoja pajėgumus, galinčius sutrikdyti svarbią ryšių infrastruktūrą tarp Jungtinių Valstijų ir Azijos regiono būsimų krizių metu.
„Volt Typhoon“ veikė nuo 2021 m. vidurio ir buvo nukreiptas prieš kritinės infrastruktūros organizacijas Guame ir kitose JAV vietose. Šioje kampanijoje nukentėjo ryšių, gamybos, komunalinių paslaugų, transporto, statybos, jūrų, vyriausybės, informacinių technologijų ir švietimo sektorių organizacijos. Iš pastebėto elgesio galima spręsti, kad grėsmės sukėlėjas ketina vykdyti šnipinėjimą ir kuo ilgiau išlaikyti prieigą nepastebėtas.
Kad pasiektų savo tikslą, šios kampanijos metu grėsmę keliantis subjektas daug dėmesio skiria slaptumui ir pasikliauja beveik vien tik metodais, kai operacinėje sistemoje esantys ištekliai yra naudojami kenkėjiškoms atakoms vykdyti, bei veikla, turint prieigą prie interneto. Per komandinę eilutę jie pateikia komandas, kad (1) surinktų duomenis, įskaitant prisijungimo informaciją, iš vietinių ir tinklo sistemų, (2) patalpintų duomenis į archyvinį failą ir parengtų juos eksfiltracijai, o tada (3) panaudotų pavogtą galiojančią prisijungimo informaciją, kad išlaikytų pastovumą. Be to, „Volt Typhoon“ bando įsilieti į įprastą tinklo veiklą, nukreipdami srautą per pažeistą mažų ir namų biurų (SOHO) tinklo įrangą, įskaitant maršrutizatorius, ugniasienes ir VPN įrangą. Taip pat pastebėta, kad jie naudojo pritaikytas atvirojo kodo įrankių versijas, kad per tarpinį serverį sukurtų vadovavimo ir kontrolės (C2) kanalą ir toliau liktų nepastebėti.
Šiame tinklaraščio įraše dalijamės informacija apie „Volt Typhoon“, jų kampaniją, nukreiptą prieš kritinės infrastruktūros paslaugų teikėjus, ir naudojamą taktiką, kaip pasiekti ir išlaikyti nesankcionuotą prieigą prie tikslinių tinklų. Kadangi ši veikla grindžiama galiojančiomis paskyromis ir „LOLBins“, t.y. dvejetainiais įrenginiais, jau esančiais operacinėje sistemoje, naudojamais kenkėjiškai veiklai maskuoti, tad aptikti ir sušvelninti šią ataką gali būti sudėtinga. Pažeistos paskyros turi būti uždarytos arba pakeistos. Šio tinklaraščio įrašo pabaigoje pateikiame daugiau rizikos mažinimo ir geriausios praktikos pavyzdžių, taip pat dalijamės išsamia informacija apie tai, kaip „Microsoft 365 Defender“ aptinka kenkėjišką bei įtartiną veiklą, kad apsaugotų organizacijas nuo tokių slaptų atakų. Nacionalinė saugumo agentūra (NSA) taip pat paskelbė Kibernetinio saugumo patarimus [PDF] , kur pateikiamas šiame tinklaraštyje aptartų taktikų, technikų ir procedūrų (TTP) paieškos vadovas. Daugiau informacijos rasite visame tinklaraščio įraše.
Kaip ir bet kurio kito stebimo valstybinio veikėjo atveju, „Microsoft“ tiesiogiai pranešė tiksliniams ar pažeistiems klientams ir suteikė jiems svarbios informacijos, reikalingos jų aplinkai apsaugoti. Kad sužinotumėte apie „Microsoft“ požiūrį į grėsmių sukėlėjų sekimą, skaitykite „Microsoft“ pereina prie naujos grėsmių veikėjų pavadinimų taksonomijos
Stebėkite „Microsoft“ saugą