LOTL-атаки угрупування Volt Typhoon на критичну інфраструктуру США

Атаку здійснило спонсороване державою угрупування Volt Typhoon, розташоване в Китаї, яке зазвичай займається шпигунством і збором інформації. Корпорація Майкрософт із помірною впевненістю вважає, що ця кампанія Volt Typhoon спрямована на формування можливостей для потенційного порушення роботи критичної комунікаційної інфраструктури між США та країнами Азії під час кризових ситуацій.

Угруповання Volt Typhoon діє із середини 2021 року й націлюється на організації критичної інфраструктури на острові Гуам і в інших місцях США. У рамках цієї кампанії атаки зазнали організації, які працюють у сферах зв’язку, виробництва, комунального господарства, транспорту, будівництва, судноплавства, державного управління, інформаційних технологій та освіти. Така поведінка змушує припускати, що це джерело загрози має намір здійснювати шпигунство, зберігати доступ до системи й залишатися непоміченим якомога довше.

Щоб досягнути цілі, джерело загрози в рамках цієї кампанії приділяло велику увагу непомітності своїх дій. Зловмисники майже виключно покладалися на методи LOTL-атак і атак із безпосереднім доступом. Вони надсилали запити через командний рядок, щоб (1) зібрати дані (зокрема, облікові дані з локальних і мережевих систем); (2) помістити ці дані в архівний файл для підготовки до їх ексфільтрації; (3) використовувати вкрадені дійсні облікові дані для збереження несанкціонованого доступу. Крім того, зловмисники з Volt Typhoon намагалися влитись у звичайну мережеву активність, маршрутизуючи трафік через уражене мережеве обладнання для малих і домашніх офісів (SOHO), зокрема маршрутизатори, брандмауери та VPN-пристрої. Також вони використовували власні версії інструментів із відкритим кодом, щоб установити канал контролю та керування (C2) через проксі-сервер і залишатися непоміченими.

У цьому дописі в блозі ми розповіли про угруповання Volt Typhoon і їхню кампанію, націлену на організації критичної інфраструктури, а також про їхню тактику отримання та збереження несанкціонованого доступу до мереж. Оскільки під час таких атаках використовуються дійсні облікові записи та двійкові файли LOTL (LOLBins), виявити й усунути загрози може бути нелегко. Уражені облікові записи потрібно закрити або змінити. Наприкінці цього допису в блозі ми пояснюємо, які додаткові заходи варто вжити для зведення ризиків до мінімуму, і ділимося практичними порадами. Крім того, ви знайдете інформацію про те, як Microsoft 365 Defender виявляє шкідливі й підозрілі дії та захищає організації від таких прихованих атак. Агентство національної безпеки США також опублікувало Рекомендації з кібербезпеки (PDF) . Цей документ містить опис тактичних сценаріїв, методів і процедур, які обговорюються в нашому блозі. Щоб дізнатися більше, ознайомтеся з повним текстом допису в блозі .

Як і в інших випадках виявлення дій державних структур, корпорація Майкрософт безпосередньо повідомила клієнтів, чиї системи могли стати цілями атак або вже були уражені, і надала їм важливу інформацію, необхідну для захисту середовищ. Щоб дізнатися про наш підхід до відстеження джерел загрози, прочитайте статтю про те, як корпорація Майкрософт переходить на нову класифікацію для іменування джерел загроз.