Registrujte se odmah da na zahtev gledate veb seminar koji sadrži uvide u Microsoft izveštaj o digitalnoj bezbednosti za 2024 godinu.
Volt Typhoon cilja ključne infrastrukture SAD tehnikom živeti-van-zemlje
Ovaj napad je sproveo Volt Typhoon, akter sa sedištem u Kini kojeg sponzoriše država i koji se obično fokusira na špijunažu i prikupljanje informacija. Microsoft sa umerenom pouzdanošću procenjuje da ova kampanja aktera Volt Typhoon ima za cilj razvoj mogućnosti koje su u stanju da poremete ključnu infrastrukturu za komunikaciju između Sjedinjenih Dražava i regiona Azije u budućim krizama.
Volt Typhoon je aktivan od sredine 2021. godine i na meti su mu bile organizacije za ključnu infrastrukturu u Guamu i na drugim lokacijama u Sjedinjenim Državama. Organizacije pogođene ovom kampanjom obuhvataju sektore za komunikaciju, proizvodnju, komunalne usluge, transport, građevinarstvo, pomorstvo, vladu, informacione tehnologije i obrazovanje. Uočeno ponašanje ukazuje na to da zlonamerni akter namerava da obavlja špijunažu i zadrži pristup što je duže moguće a da pritom ne bude otkriven.
Da bi dostigao cilj, zlonamerni akter u ovoj kampanji daje poseban značaj prikrivanju, oslanjajući se skoro isključivo na tehnike živeti-van-zemlje i praktične aktivnosti samo na tastaturi. Komande izdaju preko komandne linije sa ciljem da (1) prikupljaju podatke, uključujući akreditive iz lokalnih i mrežnih sistema, (2) odlažu podatke u datoteku za arhiviranje kako bih ih pripremili za eksfiltraciju, a zatim (3) koriste ukradene važeće akreditive radi postojanosti. Osim toga, Volt Typhoon pokušava da se uklopi u uobičajenu mrežnu aktivnost usmeravanjem saobraćaja kroz ugroženu mrežnu opremu malih i kućnih kancelarija (SOHO), uključujući rutere, zaštitne zidove i hardver za VPN. Uočeno je i da koriste prilagođene verzije alatki otvorenog koda za uspostavljanje komandnog i kontrolnog (C2) kanala preko proksija kako bi i nadalje ostali ispod radara.
U ovoj objavi na blogu, delimo informacije o akteru Volt Typhoon, njegovoj kampanji koja cilja dobavljače ključne infrastrukture, kao i taktikama za ostvarivanje i održavanje neovlašćenog pristupa ciljnim mrežama. Budući da se ova aktivnost oslanja na važeće naloge i binarne datoteke tehnike živeti-van-zemlje (LOLB), otkrivanje i ublažavanje ovog napada može biti problematično. Ugroženi nalozi se moraju zatvoriti ili promeniti. Na kraju ove objave na blogu, pružamo više informacija o koracima i najboljim praksama za smanjenje rizika, kao i detalje o načinima na koje Microsoft 365 Defender otkriva zlonamernu i sumnjivu aktivnost radi zaštite organizacije od takvih prikrivenih napada. Agencija za nacionalnu bezbednost (NSA) objavila je i Savetnik o kibernetičkoj bezbednosti [PDF] koji sadrži vodič za potragu za pretnjama koji se odnosi na taktike, tehnike i procedure (TTP) koje su tema ovog bloga. Pogledajte celu objavu na blogu da biste pronašli više informacija.
Kao i kod svake primećene aktivnosti aktera nacionalne države, korporacija Microsoft je direktno obavestila ciljane ili ugrožene klijente, pružajući im važne informacije potrebne za zaštitu okruženja. Da biste saznali više o tome kako Microsoft pristupa praćenju zlonamernih aktera, pročitajte kako Microsoft prelazi na novu klasifikaciju imenovanja zlonamernih aktera
Pratite Microsoft bezbednost