Registrati ora per assistere on demand al seminario web con gli approfondimenti del Microsoft Digital Defense Report 2024.
Volt Typhoon attacca l'infrastruttura critica statunitense con tecniche Living off the Land
L'attacco è stato lanciato da Volt Typhoon, un attore sponsorizzato dallo stato con sede in Cina, che in genere si concentra sullo spionaggio e sulla raccolta di informazioni. Microsoft valuta con moderata attendibilità che questa campagna di Volt Typhoon che sta perseguendo lo sviluppo di capacità che potrebbero compromettere l'infrastruttura critica delle comunicazioni tra Stati Uniti e Asia durante le crisi future.
Volt Typhoon è attivo da metà 2021 e ha colpito infrastrutture critiche in Guam e in altre parti degli Stati Uniti. In questa campagna, le organizzazioni colpite includono i settori seguenti: le comunicazioni, la manifattura, i servizi, i trasporti, l'edilizia, l'industria navale, gli enti governativi, l'IT e l'istruzione. Il comportamento osservato suggerisce che l'attore di minacce intende fare spionaggio e mantenere l'accesso senza essere rilevato il più a lungo possibile.
Per raggiungere questo obiettivo, l'attore di minacce pone un forte accento sulla segretezza in questa campagna, affidandosi quasi esclusivamente alle tecniche Living off the Land e ad attività "hands-on-keyboard". Forniscono comandi tramite la riga di comando per (1) raccogliere dati, tra cui le credenziali di sistemi locali e di rete, (2) inserire i dati in un file di archivio per prepararlo per l'esfiltrazione e quindi (3) usare le credenziali valide rubate per mantenere la persistenza. Inoltre, Volt Typhoon tenta di integrarsi nell'attività di rete normale instradando il traffico tramite attrezzature di rete SOHO (Small Office and Home Office) compromesse, tra cui router, firewall e hardware VPN. È stato anche osservato l'uso di versioni personalizzate di strumenti open source per stabilire un canale di comando e controllo (C2) tramite proxy per rimanere nascosto.
In questo post di blog, vengono fornite informazioni su Volt Typhoon, la sua campagna contro le infrastrutture critiche e la sua tattica per ottenere e mantenere l'accesso non autorizzato alle reti target. Poiché questa attività si basa su account validi e LOLBin (Living off the Land binaries), rilevare e attenuare questo attacco potrebbe essere difficile. Gli account compromessi devono essere chiusi o cambiati. Alla fine di questo post di blog, vengono illustrati altri processi di mitigazione e procedure consigliate, oltre a fornire dettagli su come Microsoft 365 Defender rileva attività dannose e sospette per proteggere le organizzazioni da tali attacchi furtivi. La National Security Agency (NSA) ha pubblicato anche un Cybersecurity Advisory [PDF] che contiene una guida alla ricerca per le tattiche, le tecniche e le procedure (TTP) discusse in questo blog. Consulta il post di blog intero per maggiori informazioni.
Come con qualsiasi attività dell'attore di stato-nazione osservata, Microsoft ha informato direttamente i clienti mirati o compromessi, fornendo loro le informazioni importanti necessarie per proteggere gli ambienti. Per scoprire di più sull'approccio di Microsoft per il monitoraggio degli attori di minacce, leggi l'articolo su come Microsoft passa a una nuova tassonomia dei nomi degli attori di minacce
Segui Microsoft Security