استكشف هجمات Volt Typhoon الإلكترونية على البنية التحتية الحيوية للولايات المتحدة باستخدام تقنيات التخفي خلف الأساليب الشرعية

الهجوم من تنفيذ Volt Typhoon، ممثل برعاية الدولة مقرها في الصين والذي يركز عادة على التجسس وجمع المعلومات. تقيم Microsoft بثقة معتدلة أن حملة Volt Typhoon هذه تسعى إلى تطوير القدرات التي يمكن أن تعطل البنية التحتية الحيوية للاتصالات بين الولايات المتحدة ومنطقة آسيا خلال الأزمات المستقبلية.

نشطت Volt Typhoon منذ منتصف عام 2021 واستهدفت مؤسسات البنية التحتية الحيوية في غوام وأماكن أخرى في الولايات المتحدة. في هذه الحملة، تشمل المنظمات المتضررة قطاعات الاتصالات والتصنيع والمرافق والنقل والبناء والنقل البحري والحكومة وتكنولوجيا المعلومات والتعليم. يشير السلوك الملحوظ إلى أن ممثل المخاطر ينوي إجراء تجسس والحفاظ على إمكانية الوصول دون الاكتشاف لأطول فترة ممكنة.

لتحقيق هدفهم، يركز ممثل التهديد بشدة على التخفي في هذه الحملة، ويعتمد بشكل حصري تقريباً على تقنيات التخفي خلف الأساليب الشرعية والنشاط العملي على لوحة المفاتيح. يصدرون الأوامر عبر سطر الأوامر من أجل (1) جمع البيانات، بما في ذلك بيانات الاعتماد من الأنظمة المحلية وأنظمة الشبكة، (2) وضع البيانات في ملف أرشيف لتنظيمها من أجل التسلل، ثم (3) استخدام بيانات الاعتماد الصالحة المسروقة للحفاظ على إصرار. بالإضافة إلى ذلك، تحاول Volt Typhoon الاندماج في نشاط الشبكة العادي عن طريق توجيه حركة المرور عبر معدات شبكة المكاتب الصغيرة والمكاتب المنزلية (SOHO) المعرضة للخطر، بما في ذلك أجهزة التوجيه وجدران الحماية وأجهزة VPN. وجرت ملاحظتهم أيضاً باستخدام إصدارات مخصصة من الأدوات مفتوحة المصدر لإنشاء قناة قيادة وتحكم (C2) عبر الوكيل للبقاء تحت الرادار.

في منشور المدونة هذا، نشارك المعلومات حول Volt Typhoon، وحملتهم التي تستهدف موفري البنية التحتية الحيوية، وأساليبهم لتحقيق الوصول غير المصرح به إلى الشبكات المستهدفة والحفاظ عليه. ونظراً لأن هذا النشاط يعتمد على حسابات صالحة وثنائيات التخفي خلف الأساليب الشرعية (LOLBins)، فقد يكون اكتشاف هذا الهجوم والتخفيف من آثاره أمراً صعباً. يجب إغلاق الحسابات المخترقة أو تغييرها. في نهاية منشور المدونة هذا، نشارك المزيد من خطوات التخفيف وأفضل الممارسات، بالإضافة إلى تقديم تفاصيل حول كيفية اكتشاف Microsoft 365 Defender للنشاط الضار والمريب لحماية المؤسسات من مثل هذه الهجمات الخفية. نشرت وكالة الأمن القومي (NSA) أيضاً تقريراً استشارياً للأمان عبر الإنترنت [PDF] يحتوي على دليل صيد للتكتيكات والتقنيات والإجراءات (TTPs) التي جرت مناقشتها في هذه المدونة. تحقق من منشور المدونة الكامل لمزيد من المعلومات.

كما هو الحال مع أي نشاط فاعل لدولة قومية لوحظ، أخطرت Microsoft مباشرة العملاء المستهدفين أو المعرضين للخطر وزودتهم بالمعلومات المهمة اللازمة لتأمين بيئاتهم. للتعرف على نهج Microsoft في تتبع ممثل المخاطر، اقرأ تحولات Microsoft إلى تصنيف وصف ممثل المخاطر الجديد