Registreeruge kohe 2024. aasta Microsofti digikaitsearuande ülevaateid käsitleva järelvaadatava veebiseminari vaatamiseks.
Volt Typhoon sihib USA kriitilist infrastruktuuri living-off-the-land tehnikatega
Rünnakut viib läbi Volt Typhoon, Hiinas tegutsev riiklikult toetatud ohustaja, mis on peamiselt keskendunud spionaažile ja teabe kogumisele. Microsoft hindab mõõduka kindlusega, et selle Volt Typhooni kampaaniaga püütakse arendada võimalusi, mis võivad tulevaste kriiside ajal häirida Ameerika Ühendriikide ja Aasia piirkonna kriitilist sideinfrastruktuuri.
Volt Typhoon on tegutsenud alates 2021. aasta keskpaigast ja on võtnud sihikule kriitilise infrastruktuuri organisatsioonid Guamis ja mujal Ameerika Ühendriikides. Selles kampaanias hõlmavad mõjutatud organisatsioonid side-, tootmis-, kommunaal-, transpordi-, ehitus-, merendus-, valitsus-, infotehnoloogia- ja haridussektorit. Täheldatud käitumine viitab sellele, et küberohustaja eesmärk on sooritada spionaaži ja säilitada juurdepääsu ilma, et teda võimalikult kaua tuvastataks.
Oma eesmärgi saavutamiseks paneb küberohustaja selles kampaanias suurt rõhku varjatusele, tuginedes peaaegu eranditult living-off-the-land tehnikatele ja hands-on-keyboard tegevusele. Nad annavad käsurea kaudu käske, et 1) koguda andmeid, sealhulgas kohalikest ja võrgusüsteemidest pärinevaid mandaate, 2) panna andmed arhiivifaili, et suunata need väljafiltreerimisse ja seejärel 3) kasutada varastatud kehtivaid mandaate püsivuse säilitamiseks. Lisaks üritab Volt Typhoon sulanduda tavapärasesse võrgutegevusse, suunates liiklust läbi ohustatud väikekontorite ja kodukontorite (SOHO) võrguseadmete, sealhulgas ruuterite, tulemüüride ja VPN-i riistvara. Samuti on täheldatud, et nad kasutavad avatud lähtekoodiga tööriistade kohandatud versioone puhverserveri kaudu käsu- ja juhtimiskanali (C2) loomiseks, et jääda veelgi märkamatuks.
Selles ajaveebipostituses jagame teavet Volt Typhooni, nende kriitilise infrastruktuuri pakkujatele suunatud kampaania ja nende taktikate kohta volitamata juurdepääsu saavutamiseks ja säilitamiseks sihtvõrkudele. Kuna see tegevus tugineb kehtivatele kontodele ja living-off-the-land kahendfailidele (LOLBins), võib selle rünnaku tuvastamine ja leevendamine olla keeruline. Ohustatud kontod tuleb sulgeda või muuta. Selle ajaveebipostituse lõpus jagame rohkem leevendusmeetmeid ja parimaid tavasid ning anname üksikasju selle kohta, kuidas Microsoft 365 Defender tuvastab pahatahtliku ja kahtlase tegevuse, et kaitsta organisatsioone selliste varjatud rünnakute eest. Riiklik julgeolekuagentuur (NSA) on avaldanud ka küberturvalisuse nõuande [PDF], mis sisaldab selles ajaveebis käsitletavate taktikate, tehnikate ja protseduuride (TTP) juhendit. Lisateabe saamiseks vaadake täielikku ajaveebipostitust
Nagu iga riiklikult mahitatud küberohustaja tegevuse puhul, on Microsoft teavitanud siht- või ohustatud kliente otse, pakkudes neile olulist teavet, mis on vajalik nende keskkonna kaitsmiseks. Selleks et saada lisateavet Microsofti küberohustajate jälgimise lähenemise kohta, lugege artiklit Microsoft võtab kasutusele uue küberohustajate nimetamise taksonoomia
Jälgige Microsofti turbeteenust