Volt Typhoon svoje napade usmerja v kritično infrastrukturo Združenih držav, pri čemer uporablja tehnike življenja od zemlje (LotL)

Napad je izvedla skupine Volt Typhoon, akter iz Kitajske, ki jo podpira kitajska država in se običajno ukvarja z vohunstvom in zbiranjem informacij. Microsoft z zmerno stopnjo zanesljivosti ocenjuje, da je ta akcija skupine Volt Typhoon usmerjena v razvoj zmogljivosti, ki bi lahko med krizami v prihodnosti povzročile motnje v kritični komunikacijskih infrastrukturi med Združenimi državami in azijsko regijo.

Skupina Volt Typhoon je aktivna že od sredine leta 2021 in napada organizacije kritične infrastrukturne v Guamu in drugod po Združenih državah. V tej akciji se prizadete organizacije vrstijo od sektorjev komunikacije, proizvodnje, komunale, prevoza, gradbeništva, pomorstva, vlade, informacijske tehnologije in izobraževanja. Opažena vedenja nakazujejo, da želi akter grožnje čim dlje izvajati dejanja vohunstva in ohraniti dostop ne da bi bil pri tem razkrit.

Za doseganje svojega cilja akterji grožnje pri tej akciji dajejo velik poudarek prikritosti, kjer se skoraj izključno zanašajo na tako imenovanetehnike življenja od zemljein dejavnosti napada s tipkovnico. Zahteve izdajajo z ukazno vrstico za (1) zbiranje podatkov, vključno s poverilnicami iz lokalnih in omrežnih sistemov, (2) zbiranje podatkov v arhivske datoteke,da bi jih pripravili za nepooblaščeno filtriranje, in nato (3) uporabo ukradenih veljavnih poverilnic za ohranjanje vztrajnosti. Dodatno se skupina Volt Typhoon poskuša vključiti v običajno omrežno dejavnost tako, da promet usmerja skozi ogroženo omrežje majhnih in domačih pisarn (SOHO), vključno z usmerjevalniki, požarnimi zidovi in strojno opremo VPN. Opazili smo jih tudi pri uporabi prilagojenih različic odprtokodnih orodij z namenom vzpostavitve kanala za ukaze in nadzor (C2) nad posredniškim strežnikom, da bi še naprej ostali neodkriti.

V tej objavi v spletnem dnevniku delimo informacije o skupini Volt Typhoon, njihovi akciji, usmerjeni v ponudnike kritične infrastrukture ter njihove taktike za doseganje in vzdrževanje nepooblaščenega dostopa do ciljnih omrežij. Ker ta dejavnost temelji na veljavnih računih in binarnostih življenja od zemlje (LOLBins), je zaznavanje in ublažitev tega napada lahko težavno. Ogrožene račune je treba zapreti ali spremeni. Na koncu te  objave v spletnem dnevniku bomo delili več korakov za ublažitev in najboljše prakse, pa tudi podrobnosti o tem, kako Microsoft 365 Defender zaznava zlonamerno in sumljivo dejavnost za zaščito organizacije pred takšnimi prikritimi napadi. Državna varnostna agencija (NSA) je objavila Svetovalni dokument o kibernetski varnosti [PDF] , ki vsebuje vodnik za iskanje taktik, tehnik in postopkov (TTP-ji), navedenih v tej objavi. Za več informacij si oglejte celotno objavo v spletnem dnevniku.

Kot pri vsaki zaznani dejavnosti državnega akterja je Microsoft neposredno obvestil ciljane ali ogrožene stranke ter navedel pomembne informacije, ki so potrebne za zaščito njihovega okolja. Za več informacij o Microsoftovem pristopu k spremljanju akterja grožnje preberite Microsoftov prehod na novo taksonomijo poimenovanja akterjev grožnje