Izsekojiet savus pretiniekus bezmaksas kiberdrošības detektīvspēlē. Atskaņojiet tūlīt.
Volt Typhoon uzbrūk kritiski svarīgai ASV infrastruktūrai, izmantojot mērķa sistēmā pieejamos resursus
Uzbrukumu veic Volt Typhoon, Ķīnā bāzēts valsts sponsorēts izpildītājs, kas parasti nodarbojas ar spiegošanu un informācijas vākšanu. Korporācija Microsoft samērā pārliecinoši novērtē, ka šīs Volt Typhoon kampaņas mērķis ir tādu iespēju attīstīšana, kas turpmāku krīžu gadījumā ļautu pārtraukt kritiski svarīgas sakaru infrastruktūras darbību starp Amerikas Savienotajām Valstīm un Āzijas reģionu.
Volt Typhoon grupa aktīvi darbojas no 2021. gada vidus un ir veikusi uzbrukumus kritiski svarīgās infrastruktūras organizācijām Guamā un citviet Amerikas Savienotajās Valstīs. Šajā kampaņā skartās organizācijas darbojas sakaru, ražošanas, komunālo pakalpojumu, transporta, būvniecības, jūras, valsts pārvaldes, informācijas tehnoloģiju un izglītības nozarēs. Novērotās darbības liecina, ka draudu izpildītāja nolūks ir spiegot un pēc iespējas ilgāk saglabāt piekļuvi, paliekot nepamanītam.
Lai sasniegtu mērķi, draudu izpildītājs šajā kampaņā īpašu uzmanību pievērš slepenībai, izmantojot gandrīz tikai mērķa sistēmā pieejamos resursus un manuālas darbības. Izpildītājs dod komandas, izmantojot komandrindu, lai (1) vāktu datus, tostarp akreditācijas datus, no lokālajām un tīkla sistēmām, (2) ievietotu datus arhīva failā, sagatavojot eksfiltrēšanai, un pēc tam (3) izmantotu nozagtos derīgos akreditācijas datus, lai turpinātu darboties. Turklāt Volt Typhoon mēģina imitēt normālu tīkla darbību, maršrutējot trafiku caur apdraudētām mazbiroju (SOHO) tīkla iekārtām, tostarp maršrutētājiem, ugunsmūriem un VPN aparatūru. Novērots, ka viņi izmanto atklātā pirmkoda pielāgotas versijas, lai izveidotu komandu un kontroles (C2) kanālu starpniekserverī un turpinātu palikt nepamanīti.
Šajā emuāra ziņāmēs sniedzam informāciju par Volt Typhoon, tā kampaņu, kuras mērķis ir uzbrukt kritiski svarīgas infrastruktūras nodrošinātājiem, kā arī izpildītāja taktiku neautorizētas piekļuves mērķa tīkliem iegūšanai un saglabāšanai. Tā kā šai darbībai tiek izmantoti derīgi konti un mērķa sistēmā pieejamo resursu binārie kodi (LOLBins), šāda uzbrukuma atklāšana un seku mazināšana var būt sarežģīta. Apdraudētie konti ir jāslēdz vai jāmaina. Šīs emuāra ziņasbeigās dalāmies ar informāciju par seku mazināšanas darbībām un labo praksi, kā arī sniedzam detalizētu informāciju par to, kā Microsoft 365 Defender konstatē ļaunprātīgas un aizdomīgas darbības, lai aizsargātu organizācijas no šādiem slepeniem uzbrukumiem. Nacionālās drošības aģentūra (NSA) ir publicējusi arī kiberdrošības ieteikumus [PDF] , kuros ietverts šajā emuārā minētās taktikas, paņēmienu un procedūru (TTP) medību ceļvedis. Lai uzzinātu vairāk, aplūkojiet visu emuāra ziņu.
Kā jebkurā citā gadījumā, konstatējot ar valsts izpildorganizācijām saistītas darbības, Microsoft informēja mērķa vai apdraudētos klientus, sniedzot tiem svarīgu informāciju, kas ir nepieciešama, lai aizsargātu savas vides. Lai uzzinātu, kā Microsoft izseko draudu izpildītājus, izlasiet rakstu Microsoft sāk izmantot jaunu draudu izpildītāju nosaukumu taksonomiju
Sekot Microsoft drošībai