Volt Typhoon richt zich met LOTL-technieken op kritieke infrastructuur in de Verenigde Staten

De aanval wordt uitgevoerd door Volt Typhoon, een door de overheid gesponsorde Chinese actor die zich doorgaans bezighoudt met spionage en het verzamelen van informatie. Microsoft schat met gemiddelde zekerheid in dat deze Volt Typhoon-campagne ten doel heeft mogelijkheden te ontwikkelen om de kritieke communicatie-infrastructuur tussen de Verenigde Staten en Azië tijdens toekomstige crises te kunnen verstoren.

Volt Typhoon is actief sinds medio 2021 en is gebruikt om kritieke infrastructuurorganisaties in Guam en elders in de Verenigde Staten aan te vallen. In deze campagne zijn organisaties in de communicatie-, productie-, nuts-, transport-, bouw-, maritieme, overheids-, informatietechnologie- en onderwijssectoren getroffen. Op basis van het waargenomen gedrag kan worden geconcludeerd dat het de bedoeling is dat de bedreigingsactor spionageactiviteiten uitvoert en zo lang mogelijk toegang houdt zonder te worden gedetecteerd.

Om het doel te bereiken, is in deze campagne heimelijkheid cruciaal voor de bedreigingsactor en wordt vrijwel uitsluitend gebruikgemaakt van LOTL-technieken en via het toetsenbord uitgevoerde activiteiten. Via de opdrachtregel worden opdrachten opgegeven om (1) gegevens te verzamelen, inclusief referenties van lokale en netwerksystemen, (2) de gegevens in een archiefbestand te plaatsen om ze voor te bereiden voor exfiltratie en (3) de gestolen geldige referenties te gebruiken om persistentie te waarborgen. Daarnaast probeert Volt Typhoon op te gaan in de normale netwerkactiviteiten door verkeer te routeren via gecompromitteerde netwerkapparatuur voor kleine en thuiskantoren, waaronder routers, firewalls en VPN-hardware. Bovendien is vastgesteld dat Volt Typhoon aangepaste versies van opensource-tools gebruikt om via proxy een C2-kanaal (Command and Control) op te zetten en onder de radar te blijven.

In deze blogpost delen we informatie over Volt Typhoon, de campagne van Volt Typhoon om leveranciers van kritieke infrastructuur aan te vallen en de tactieken van Volt Typhoon om ongeautoriseerde toegang tot doelnetwerken te krijgen en te behouden. Omdat bij deze activiteiten wordt gebruikgemaakt van geldige accounts en LOLBins (binaire LOTL-bestanden), kan het lastig zijn om een dergelijke aanval te detecteren en de gevolgen ervan te beperken. Gecompromitteerde accounts moeten worden gesloten of gewijzigd. Aan het einde van deze blogpost worden aanvullende stappen voor risicobeperking en best practices beschreven. Daarnaast wordt aangegeven hoe Microsoft 365 Defender schadelijke en verdachte activiteiten detecteert om organisaties te beschermen tegen dit soort heimelijke aanvallen. De NSA (National Security Agency) heeft ook een advies over cyberbeveiliging [PDF] gepubliceerd met een handleiding voor het opsporen van de tactieken, technieken en procedures (TTP's) die in deze blog aan bod komen. Lees de volledige blogpost voor meer informatie.

Zoals bij alle waargenomen activiteiten van nation-state actoren heeft Microsoft klanten die het doelwit zijn of zijn getroffen direct op de hoogte gebracht en hen van de informatie voorzien die ze nodig hebben om hun omgevingen te beveiligen. Meer informatie over de strategie van Microsoft om bedreigingsactoren te volgen, vind je in het artikel Microsoft shifts to a new threat actor naming taxonomy (Microsoft gebruikt een nieuwe taxonomie voor het benoemen van bedreigingsactoren)