Zarejestruj się teraz, aby obejrzeć seminarium internetowe na żądanie poświęcone szczegółowym informacjom zawartym w raporcie firmy Microsoft na temat ochrony zasobów cyfrowych za 2024 r.
Grupa Volt Typhoon atakuje infrastrukturę krytyczną Stanów Zjednoczonych za pomocą technik LOTL
Atak ten prowadzi grupa Volt Typhoon, sponsorowana przez państwo i z siedzibą w Chinach, która zwykle koncentruje się na szpiegostwie i gromadzeniu informacji. Firma Microsoft ocenia z umiarkowaną pewnością, że celem tej kampanii grupy Volt Typhoon jest rozwinięcie możliwości, które podczas przyszłych kryzysów pozwoliłyby zakłócać działanie krytycznej infrastruktury komunikacyjnej między Stanami Zjednoczonymi a regionem Azji.
Grupa Volt Typhoon działa od połowy 2021 r. i atakuje organizacje zajmujące się infrastrukturą krytyczną na wyspie Guam oraz w innych miejscach w Stanach Zjednoczonych. Celem tej kampanii są organizacje z sektorów komunikacji, produkcji, usług komunalnych, transportu, budownictwa, gospodarki morskiej, administracji publicznej, informatyki i edukacji. Zaobserwowane zachowanie sugeruje, że to źródło zagrożenia zamierza prowadzić szpiegostwo i utrzymywać dostęp tak długo, jak to możliwe bez wykrycia.
Do realizacji celu to źródło zagrożenia wykorzystuje w tej kampanii przede wszystkim niewidzialne działania, opierając się prawie wyłącznie na technikach ataku LOTL (ang. Living Off The Land) i działaniach z wykorzystaniem klawiatury. Członkowie tej grupy uruchamiają za pomocą wiersza poleceń polecenia, aby (1) zebrać dane, w tym poświadczenia z systemów lokalnych i sieciowych, (2) umieścić dane w pliku archiwum w celu przygotowania ich do eksfiltracji, a następnie (3) wykorzystać te skradzione prawidłowe poświadczenia do pozostania w zaatakowanym systemie. Ponadto grupa Volt Typhoon próbuje wtopić się w normalną aktywność sieciową, kierując ruch przez skutecznie zaatakowany sprzęt sieciowy małych i domowych biur, w tym routery, zapory i sprzęt VPN. Zaobserwowano również, że grupa ta używa niestandardowych wersji narzędzi typu open source w celu ustanowienia kanału sterowania i kontroli (C2) za pośrednictwem serwera proxy, aby uniknąć wykrycia.
W tym wpisie w blogu udostępniamy informacje na temat grupy Volt Typhoon, jej kampanii wycelowanej w dostawców infrastruktury krytycznej oraz stosowanych przez nią taktyk uzyskiwania i utrzymywania nieautoryzowanego dostępu do atakowanych sieci. Ponieważ ta aktywność opiera się na używaniu prawidłowych kont i plików binarnych LOTL (plików LOLBin), wykrycie i ograniczenie ryzyka takiego ataku może być trudne. Naruszone konta należy zamknąć lub zmienić. Na końcu tego wpisu w blogu udostępniamy więcej czynności ograniczenia ryzyka i najlepszych rozwiązań oraz szczegółowo opisujemy, jak usługa Microsoft 365 Defender wykrywa złośliwą i podejrzaną aktywność, aby chronić organizacje przed takimi niewidzialnymi atakami. National Security Agency (NSA), amerykańska agencja ds. bezpieczeństwa narodowego, opublikowała też poradnik dotyczący cyberbezpieczeństwa (PDF), który zawiera przewodnik poświęcony wyszukiwaniu zagrożeń, w tym taktykom, technikom i procedurom (tzw. TTP) omawianym w tym blogu. Zapoznaj się z pełnym wpisem w blogu, aby uzyskać więcej informacji.
Podobnie jak w przypadku każdej zaobserwowanej aktywności państwowej grupy hakerskiej, firma Microsoft bezpośrednio powiadamia klientów, którzy stali się celem ataków lub padli ofiarą naruszeń, przekazując im ważne informacje potrzebne do zabezpieczenia ich środowisk. Aby dowiedzieć się więcej na temat podejścia firmy Microsoft do śledzenia źródeł zagrożeń, przeczytaj artykuł Firma Microsoft przechodzi na nową taksonomię nazewnictwa źródeł zagrożeń
Obserwuj rozwiązania zabezpieczające firmy Microsoft