Získajte prehľady priamo od odborníkov v podcaste Microsoft Analýza hrozieb. Vypočuť si.
Volt Typhoon sa zameriava na kritickú infraštruktúru USA pomocou techník LOTL (living-off-the-land)
Za útokom stojí Volt Typhoon, štátom podporovaná skupina so sídlom v Číne, ktorý sa zvyčajne zameriava na špionáž a zhromažďovanie informácií. Spoločnosť Microsoft s miernou spoľahlivosťou hodnotí, že táto kampaň skupiny Volt Typhoon slúži na vývoj možností, pomocou ktorých by bolo možné počas budúcich kríz narušiť kritickú komunikačnú infraštruktúru medzi Spojenými štátmi a ázijským regiónom.
Skupina Volt Typhoon je aktívna od polovice roku 2021 a zameriava sa na organizácie kritickej infraštruktúry na Guame a iných miestach v Spojených štátoch. V tejto kampani sú ovplyvnené organizácie v sektoroch komunikácií, výroby, verejných služieb, dopravy, stavebníctva, námorníctva, štátnej správy, informačných technológií a vzdelávania. Pozorované správanie naznačuje, že zdroj hrozby má v úmysle vykonávať špionáž a zachovať si prístup bez odhalenia čo najdlhšie.
Na dosiahnutie svojho cieľa kladie zdroj hrozby v tejto kampani veľký dôraz na utajenie, pričom sa takmer výlučne spolieha na techniky LOTL a aktivitu typu Hands-on-keyboard. Cez príkazový riadok vydávajú príkazy (1) na zhromažďovanie údajov vrátane poverení z lokálnych a sieťových systémov, (2) na uloženie údajov do archívneho súboru na exfiltráciu a potom (3) na použitie ukradnutých platných prihlasovacích údajov, aby si udržali trvalosť. Okrem toho sa Volt Typhoon snaží zamiešať do bežnej sieťovej aktivity smerovaním prenosu cez zneužité sieťové zariadenia malých kancelárií a domácich kancelárií (SOHO) vrátane smerovačov, brán firewall a hardvéru siete VPN. Zistilo sa aj to, že používajú vlastné verzie open-source nástrojov na vytvorenie kanála príkazov a riadenia (C2) cez proxy, aby ďalej zostali pod radarom.
V tomto blogovom príspevkuzdieľame informácie o skupine Volt Typhoon, jej kampani zameranej na poskytovateľov kritickej infraštruktúry a taktike na dosiahnutie a udržanie neoprávneného prístupu k cieľovým sieťam. Pretože táto aktivita závisí od platných kont a binárnych súborov living-off-the-land (LOLBins), detekcia a zmiernenie tohto útoku môže byť náročné. Zneužité kontá sa musia byť zavrieť alebo zmeniť. Na konci tohto blogového príspevku zdieľame ďalšie zmierňujúce kroky a osvedčené postupy, ako aj podrobnosti o tom, ako Microsoft 365 Defender zisťuje škodlivú a podozrivú aktivitu na ochranu organizácií pred takýmito skrytými útokmi. Národná bezpečnostná agentúra (NSA) tiež zverejnila dokument Poradenstvo kybernetickej bezpečnosti [PDF], ktorý obsahuje príručku vyhľadávania hrozieb s taktikou, technikami a postupmi (TTP), o ktorých sa hovorí v tomto blogu. Ďalšie informácie nájdete v úplnom blogovom príspevku.
Tak ako pri každej pozorovanej aktivite národno-štátneho činiteľa, spoločnosť Microsoft priamo upozornila cielených alebo zneužitých zákazníkov a poskytla im dôležité informácie potrebné na zabezpečenie prostredia. Ak sa chcete dozvedieť o prístupe spoločnosti Microsoft k sledovaniu zdrojov hrozieb, prečítajte si článok Microsoft prechádza na novú taxonómiu pomenovávania zdrojov hrozieb
Sledujte Microsoft