Volt Typhoon retter sig mod USA's kritiske infrastruktur med teknikker med eksisterende værktøjer i systemet

Dette angreb udføres af Volt Typhoon, en statssponsoreret aktør med base i Kina, som normalt fokuserer på spionage og indhentning af oplysninger. Microsoft vurderer med moderat sikkerhed, at denne kampagne fra Volt Typhoon søger at udvikle evner, der kan forstyrre kritisk kommunikationsinfrastruktur mellem USA og Asien i fremtidige kriser.

Volt Typhoon har været aktiv siden midten af 2021 og har rettet sig mod kritiske infrastrukturorganisationer i Guam og andre steder i USA. I denne kampagne spænder de påvirkede organisationer over kommunikation, fremstilling, forsyning, transport, byggeri, den maritime sektor, myndigheder, informationsteknologi og uddannelsessektoren. Den observerede adfærd tilsiger, at trusselsaktøren søger at udføre spionage og opretholde adgangen uden at blive registreret, i så lang tid som muligt.

For at opnå sit mål er trusselsaktøren særligt fokuseret på at være diskret i denne kampagne, hvor denne næsten udelukkende gør brug af teknikker med værktøjer i det eksisterende system og hænder-på-tastaturet-aktivitet. Vedkommende giver kommandoer via kommandolinjen for at (1) indhente data, herunder legitimationsoplysninger fra lokale systemer og netværkssystemer, (2) placere dataene i en arkivfil og klargøre den til at blive hentet ud og derefter (3) bruge de stjålne gyldige legitimationsoplysninger til at opretholde vedholdenhed. Derudover forsøger Volt Typhoon at ligne den normale netværksaktivitet ved at føre trafik gennem kompromitteret SOHO-netværksudstyr (udstyr til små kontorer og hjemmekontorer), herunder routere, firewalls og VPN-hardware. Det er også blevet observeret, at vedkommende har brugt tilpassede versioner af værktøjer med åben kildekode til at etablere en kommando og kontrol-kanal (C2) via proxy som en yderligere hjælp til at holde sig under radaren.

I dette blogindlæg deler vi oplysninger om Volt Typhoon, vedkommendes kampagne rettet mod udbydere af kritisk infrastruktur og dennes taktikker til at opnå og opretholde uautoriseret adgang til målnetværk. Eftersom denne aktivitet gør brug af gyldige konti og LOLBins (binære koder i eksisterende systemer), kan det være udfordrende at registrere og imødekomme dette angreb. Kompromitterede konti skal lukkes eller ændres. Ved afslutningen af dette blogindlæg deler vi flere trin og bedste praksisser for imødekommelse, og vi giver detaljer om, hvordan Microsoft 365 Defender registrerer ondsindet og mistænkelig aktivitet for at beskytte organisationer mod sådanne diskrete angreb. NSA (National Security Agency) har også udgivet en Rådgivning om cybersikkerhed [PDF] , som indeholder en jagtguide til de taktikker, teknikker og procedurer (TTP'er), der nævnes i denne blog. Se hele blogindlægget for at få flere oplysninger.

Som med enhver observeret aktivitet fra en nation-stat-aktør har Microsoft direkte underrettet kunder, der har været mål eller er blevet kompromitteret og givet dem vigtige oplysninger, som de har brug for med henblik på at sikre deres miljøer. Du kan få mere at vide om Microsofts tilgang til sporing af trusselsaktører ved at læse Microsoft skifter til en ny taksonomi for navngivning af trusselsaktører