Volt Typhoon nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ bằng kỹ thuật xâm nhập tàng hình

Cuộc tấn công được thực hiện bởi Volt Typhoon, một tổ chức được nhà nước bảo trợ có trụ sở tại Trung Quốc, thường tập trung vào hoạt động gián điệp và thu thập thông tin. Microsoft đánh giá với độ tin cậy trung bình rằng chiến dịch Volt Typhoon này đang theo đuổi việc phát triển các khả năng có thể làm gián đoạn cơ sở hạ tầng truyền thông quan trọng giữa Hoa Kỳ và khu vực Châu Á trong các cuộc khủng hoảng trong tương lai.

Volt Typhoon đã hoạt động từ giữa năm 2021 và nhắm mục tiêu vào các tổ chức cơ sở hạ tầng quan trọng ở Guam và các nơi khác ở Hoa Kỳ. Trong chiến dịch này, các tổ chức bị ảnh hưởng trải rộng trong các lĩnh vực truyền thông, sản xuất, công trình hạ tầng kỹ thuật, vận tải, xây dựng, hàng hải, chính phủ, công nghệ thông tin và giáo dục. Hành vi được quan sát cho thấy kẻ đe dọa có ý định thực hiện hoạt động gián điệp và duy trì quyền truy cập mà không bị phát hiện càng lâu càng tốt.

Để đạt được mục tiêu, kẻ đe dọa đặc biệt chú trọng đến khả năng tàng hình trong chiến dịch này, hầu như chỉ dựa vào các kỹ thuật xâm nhập tàng hình và hành động trên bàn phím. Họ đưa ra các lệnh thông qua dòng lệnh để (1) thu thập dữ liệu, bao gồm thông tin xác thực từ hệ thống mạng cục bộ, (2) đưa dữ liệu vào tệp lưu trữ để sàng lọc và sau đó (3) sử dụng thông tin xác thực hợp lệ bị đánh cắp để duy trì quyền truy cập. Ngoài ra, Volt Typhoon cố gắng xen vào hoạt động mạng thông thường bằng cách định tuyến lưu lượng truy cập thông qua thiết bị mạng đã bị xâm nhập của văn phòng nhỏ và văn phòng gia đình (SOHO), bao gồm bộ định tuyến, tường lửa và phần cứng VPN. Họ cũng đã được quan sát thấy bằng cách sử dụng các phiên bản tùy chỉnh của các công cụ nguồn mở để thiết lập kênh lệnh và điều khiển (C2) với các thiết bị bị xâm nhập qua proxy nhằm tiếp tục nằm ngoài tầm kiểm soát.

Trong bài blog này, chúng tôi chia sẻ thông tin về Volt Typhoon, chiến dịch của họ nhắm vào các nhà cung cấp cơ sở hạ tầng quan trọng cũng như các chiến thuật của họ để đạt được và duy trì quyền truy cập trái phép vào các mạng lưới mục tiêu. Bởi vì hoạt động này dựa trên các tài khoản hợp lệ và tệp nhị phân của kỹ thuật xâm nhập tàng hình (LOLBins), nên việc phát hiện và giảm thiểu cuộc tấn công này có thể là một thách thức. Các tài khoản bị xâm phạm phải được đóng hoặc thay đổi. Ở cuối bài blog này,chúng tôi chia sẻ thêm các bước giảm thiểu và biện pháp thực hành tốt nhất, cũng như cung cấp thông tin chi tiết về cách Microsoft 365 Defender phát hiện hoạt động độc hại và đáng ngờ để bảo vệ các tổ chức khỏi các cuộc tấn công tàng hình như vậy. Cơ quan An ninh Quốc gia (NSA) cũng đã công bố một báo cáo Cybersecurity Advisory [PDF] trong đó có hướng dẫn tìm kiếm các chiến thuật, kỹ thuật và quy trình (TTPs) được thảo luận trong blog này. Kiểm tra toàn bộ bài blog để biết thêm thông tin.

Giống như bất kỳ hoạt động nào của tác nhân cấp quốc gia được quan sát, Microsoft đã thông báo trực tiếp cho các khách hàng mục tiêu hoặc bị xâm phạm, cung cấp cho họ thông tin quan trọng cần thiết để bảo vệ môi trường của họ. Để tìm hiểu về phương pháp theo dõi tác nhân đe dọa của Microsoft, hãy đọc Microsoft chuyển sang phân loại đặt tên cho tác nhân đe dọa mới