Το Volt Typhoon στοχεύει τις κρίσιμες υποδομές των ΗΠΑ με τεχνικές living-off-the-land

Η επίθεση πραγματοποιείται από την Volt Typhoon, έναν κρατικά υποστηριζόμενο φορέα που εδρεύει στην Κίνα και συνήθως επικεντρώνεται στην κατασκοπεία και τη συλλογή πληροφοριών. Η Microsoft εκτιμά με μέτρια εμπιστοσύνη ότι αυτή η εκστρατεία του Volt Typhoon επιδιώκει την ανάπτυξη δυνατοτήτων που θα μπορούσαν να διαταράξουν κρίσιμες υποδομές επικοινωνιών μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων.

Ο Volt Typhoon είναι ενεργός από τα μέσα του 2021 και έχει βάλει στο στόχαστρο οργανισμούς υποδομής ζωτικής σημασίας στο Γκουάμ και αλλού στις Ηνωμένες Πολιτείες. Σε αυτή την εκστρατεία, οι επηρεαζόμενοι οργανισμοί καλύπτουν τους τομείς των επικοινωνιών, της μεταποίησης, των υπηρεσιών κοινής ωφέλειας, των μεταφορών, των κατασκευών, της ναυτιλίας, των κυβερνητικών οργανισμών, της πληροφορικής και της εκπαίδευσης. Η παρατηρούμενη συμπεριφορά υποδηλώνει ότι ο παράγοντας απειλής σκοπεύει να πραγματοποιήσει κατασκοπεία και να διατηρήσει την πρόσβαση χωρίς να γίνει αντιληπτός για όσο το δυνατόν μεγαλύτερο χρονικό διάστημα.

Για να επιτύχει τον στόχο του, ο παράγοντας απειλής δίνει μεγάλη έμφαση στη μυστικότητα σε αυτή την εκστρατεία, βασιζόμενος σχεδόν αποκλειστικά σε τεχνικές living-off-the-land και στη χρήση του πληκτρολογίου. Εκδίδουν εντολές μέσω της γραμμής εντολών για να (1) συλλέξουν δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων από τοπικά συστήματα και συστήματα δικτύου, (2) να τοποθετήσουν τα δεδομένα σε ένα αρχείο αρχειοθέτησης για να τα προετοιμάσουν για διαρροή και, στη συνέχεια, (3) να χρησιμοποιήσουν τα κλεμμένα έγκυρα διαπιστευτήρια για να διατηρήσουν την παρουσία τους. Επιπλέον, το Volt Typhoon προσπαθεί να ενσωματωθεί στην κανονική δραστηριότητα του δικτύου, δρομολογώντας την κυκλοφορία μέσω παραβιασμένου εξοπλισμού δικτύου μικρών γραφείων και οικιακών γραφείων (SOHO), συμπεριλαμβανομένων δρομολογητών, τειχών προστασίας και υλικού VPN. Έχουν επίσης παρατηρηθεί να χρησιμοποιούν προσαρμοσμένες εκδόσεις εργαλείων ανοικτού κώδικα για τη δημιουργία ενός καναλιού διοίκησης και ελέγχου (C2) μέσω διακομιστή μεσολάβησης για να παραμείνουν περαιτέρω απαρατήρητοι.

Σε αυτή την ανάρτηση ιστολογίου, μοιραζόμαστε πληροφορίες σχετικά με το Volt Typhoon, την εκστρατεία τους με στόχο τους παρόχους κρίσιμων υποδομών και τις τακτικές τους για την επίτευξη και διατήρηση μη εξουσιοδοτημένης πρόσβασης σε δίκτυα-στόχους. Επειδή αυτή η δραστηριότητα βασίζεται σε έγκυρους λογαριασμούς και δυαδικά αρχεία living-off-the-land (LOLBins), ο εντοπισμός και ο μετριασμός αυτής της επίθεσης μπορεί να είναι δύσκολος. Οι παραβιασμένοι λογαριασμοί πρέπει να κλείσουν ή να αλλάξουν. Στο τέλος αυτής της καταχώρησης ιστολογίου, μοιραζόμαστε περισσότερα βήματα μετριασμού και βέλτιστες πρακτικές, καθώς και λεπτομέρειες σχετικά με τον τρόπο με τον οποίο το Microsoft 365 Defender ανιχνεύει κακόβουλες και ύποπτες δραστηριότητες για την προστασία των οργανισμών από τέτοιου είδους κρυφές επιθέσεις. Η Εθνική Υπηρεσία Ασφαλείας (NSA) δημοσίευσε επίσης μια Συμβουλευτική για την ασφάλεια στον κυβερνοχώρο [PDF] η οποία περιέχει έναν οδηγό για το κυνήγι των τακτικών, τεχνικών και διαδικασιών (TTPs) με τις οποίες ασχολείται αυτό το ιστολόγιο. Δείτε την πλήρη καταχώρηση ιστολογίου για περισσότερες πληροφορίες.

Όπως συμβαίνει με κάθε παρατηρούμενη δραστηριότητα εθνικού παράγοντα, η Microsoft έχει ενημερώσει άμεσα τους πελάτες που έχουν στοχοποιηθεί ή παραβιαστεί, παρέχοντάς τους σημαντικές πληροφορίες που απαιτούνται για την ασφάλεια των περιβαλλόντων τους. Για να μάθετε σχετικά με την προσέγγιση της Microsoft για τον εντοπισμό παραγόντων απειλής, διαβάστε το θέμα Η Microsoft μεταβαίνει σε μια νέα ταξινόμηση ονομασιών παραγόντων απειλής