Volt Typhoon útočí na kritickou infrastrukturu USA pomocí technik living-off-the-land

Útok provádí Volt Typhoon, státem sponzorovaný aktér se sídlem v Číně, který se obvykle zaměřuje na špionáž a shromažďování informací. Microsoft se s mírnou jistotou domnívá, že cílem kampaně Volt Typhoon je vývoj schopností, které by mohly narušit kritickou komunikační infrastrukturu mezi Spojenými státy a asijským regionem během budoucích krizí.

Volt Typhoon je aktivní od poloviny roku 2021 a cílí na kritickou infrastrukturu na Guamu i jinde ve Spojených státech. Postihuje organizace z odvětví komunikací, výroby, veřejných služeb, dopravy, stavebnictví, námořnictví, státní správy, informačních technologií a vzdělávání. Pozorované chování naznačuje, že aktér hrozby hodlá provádět špionáž a udržet si přístup co nejdéle, aniž by byl odhalen.

Aby dosáhl svého cíle, klade aktér hrozby v této kampani velký důraz na utajení a spoléhá se téměř výhradně na techniky living-off-the-land a ovládání přes klávesnici. Pomocí příkazů přes příkazový řádek (1) shromažďuje data včetně přihlašovacích údajů z místních a síťových systémů, (2) ukládá data do komprimovaného souboru, aby je bylo možné exfiltrovat, a (3) používá ukradené platné přihlašovací údaje k tomu, aby si udržel přístup. Vedle toho se Volt Typhoon snaží vmísit do běžné síťové aktivity tím, že směruje provoz přes napadená síťová zařízení v malých a domácích kancelářích (SOHO), včetně směrovačů, firewallů a VPN hardwaru. Bylo také pozorováno, že kvůli lepšímu utajení používá upravené verze opensourcových nástrojů k vytvoření řídicího a kontrolního kanálu (C2) přes proxy server.

V tomto blogovém příspěvku informujeme o hrozbě Volt Typhoon, o její kampani zaměřené na poskytovatele kritické infrastruktury a o její taktice za účelem dosažení a udržení neoprávněného přístupu do cílových sítí. Protože používá platné účty a binární soubory living-off-the-land (LOLBins), může být odhalení a zmírnění tohoto útoku náročné. Napadené účty je nutné uzavřít nebo změnit. Na konci tohoto blogového příspěvku se dozvíte o dalších krocích ke zmírnění či osvědčených postupech a také o tom, jak Microsoft 365 Defender odhaluje škodlivé a podezřelé aktivity, aby ochránil organizace před takovými skrytými útoky. Národní bezpečnostní agentura (NSA) zveřejnila kyberbezpečnostní upozornění [PDF] s návodem na proaktivní vyhledávání, které využívá taktiky, techniky a postupy (TTP), o nichž tento blogový příspěvek pojednává. Další informace najdete v úplném znění blogového příspěvku. 

Microsoft stejně jako v případě jiné pozorované aktivity národních aktérů přímo informoval cílové nebo napadené zákazníky a poskytl jim důležité informace potřebné k zabezpečení jejich prostředí. Chcete-li se dozvědět více o přístupu Microsoftu ke sledování aktérů hrozeb, přečtěte si článek  Microsoft přechází na novou taxonomii pojmenování aktérů hrozeb.