Obtenha informações diretamente de especialistas no Podcast Informações sobre Ameaças da Microsoft. Ouvir agora.
O Volt Typhoon visa infraestrutura crítica dos EUA com técnicas living-off-the-land
O ataque foi realizado pelo Volt Typhoon, um ator patrocinado pelo estado baseado na China que normalmente se foca em espionagem e recolha de informação. A Microsoft opina com moderada confiança que esta campanha do Volt Typhoon procura desenvolver capacidades que poderiam perturbar infraestrutura de comunicações crítica entre os Estados Unidos e a região asiática durante crises futuras.
O Volt Typhoon está ativo desde meados de 2021 e visou organizações de infraestrutura crítica em Guam e noutros locais nos Estados Unidos. Nesta campanha, as organizações afetadas abrangem os setores de comunicações, fabrico, serviço público, transportes, construção, marítimo, administração pública, tecnologias de informação e educação. O comportamento observado sugere que o ator de ameaças pretende realizar espionagem e manter acesso sem ser detetado o máximo de tempo possível.
Para alcançar o seu objetivo, o ator de ameaças põe um grande ênfase na atuação furtiva nesta campanha, contando quase exclusivamente com técnicas living-off-the-land e atividade de mãos no teclado. Enviam comandos através da linha de comandos para (1) recolher dados, incluindo credenciais de sistemas locais e de rede, (2) pôr os dados num ficheiro de arquivo para testá-lo para extração e, depois, (3) utilizar as credenciais válidas roubadas para manter a persistência. Além disso, o Volt Typhoon tenta passar despercebido na atividade da rede normal ao encaminhar tráfego por equipamento de rede de escritório em casa comprometido, incluindo routers, firewalls e hardware de VPN. Também foram observados a utilizar versões personalizadas de ferramentas open-source para estabelecer um canal de comando e controlo (C2) através de proxy para se manter indetetáveis.
Nesta publicação de blogue, partilhamos informações sobre o Volt Typhoon, a sua campanha contra fornecedores de infraestrutura crítica e as suas táticas para conseguir e manter acesso não autorizado a redes alvo. Uma vez que esta atividade conta com contas válidas e binários living-off-the-land (LOLBins), detetar e mitigar este ataque pode ser difícil. As contas comprometidas têm de ser fechadas ou alteradas. No final desta publicação de blogue, partilhamos mais passos e melhores práticas de mitigação e fornecemos detalhes sobre como o Microsoft 365 Defender deteta atividade maliciosa e suspeita para proteger organizações de tais ataques furtivos. A National Security Agency (NSA) também publicou um Aviso de Cibersegurança [PDF] que contém um guia de investigação para as táticas, as técnicas e os procedimentos (TTP) discutidos neste blogue. Veja a publicação de blogue completa para obter mais informações.
Tal como com qualquer atividade de ator de estado-nação observada, a Microsoft notificou diretamente os clientes visados ou comprometidos, fornecendo-lhes informações importantes necessárias para proteger os seus ambientes. Para saber mais sobre a abordagem da Microsoft para a monitorização de atores de ameaças, leia Microsoft muda para uma nova taxonomia de designação de atores de ameaças
Siga a Microsoft