Σύμφωνα με τη Microsoft, η κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο που παρακολουθεί με την ονομασία Volt Typhoon στοχεύει σε οργανισμούς κρίσιμων υποδομών σε όλες τις ΗΠΑ, συμπεριλαμβανομένου του Γκουάμ, τουλάχιστον μέχρι τα μέσα του 2021.
Τα θύματά της περιλαμβάνουν ένα ευρύ φάσμα κρίσιμων τομέων, όπως η κυβέρνηση, η ναυτιλία, οι τηλεπικοινωνίες, η μεταποίηση, η πληροφορική, οι επιχειρήσεις κοινής ωφέλειας, οι μεταφορές, οι κατασκευές και η εκπαίδευση.
Ο πρώτος φορέας επίθεσης είναι η παραβίαση των συσκευών Fortinet FortiGuard που είναι εκτεθειμένες στο διαδίκτυο με την εκμετάλλευση μιας άγνωστης 0day ευπάθειας.
Μόλις παραβιαστεί το δίκτυο του στόχου, μπορούν να χρησιμοποιήσουν πρακτικές δραστηριότητες με το πληκτρολόγιο και τα PowerShell, Certutil, Netsh, Windows Management Instrumentation Command Line (WMIC) κ.λπ. Live off-the-land binaries (LOLBin) για να εξαπολύσουν αυτό που η Microsoft περιγράφει ως επιθέσεις “living off-the-land”.
Ωστόσο, σύμφωνα με μια κοινή συμβουλευτική που κυκλοφόρησε σήμερα από το FBI, την NSA, την CISA και τις υπηρεσίες κυβερνοασφάλειας της Αυστραλίας, της Νέας Ζηλανδίας, του Ηνωμένου Βασιλείου και του Καναδά, έχουν εντοπίσει το Fast Reverse Proxy (frp), το εργαλείο κλοπής διαπιστευτηρίων Mimikatz, το δίκτυο Impacket και πλαίσια, καθώς και άλλα εργαλεία ανοικτού κώδικα έχουν επίσης παρατηρηθεί.
Το Volt Typhoon συνδυάζει κακόβουλη δραστηριότητα με νόμιμη κυκλοφορία δικτύου για να αποφύγει την ανίχνευση, όπως δρομολογητές ASUS, Cisco, D-Link, Netgear, FatPipe και Zyxel, firewalls και συσκευές VPN σε παραβιασμένα μικρά γραφεία και οικιακού γραφείου (SOHO).
Χρησιμοποιώντας την προνομιακή πρόσβαση που αποκτάται μετά την παραβίαση μιας συσκευής Fortinet, οι κυβερνητικοί χάκερ μπορούν να αρνηθούν διαπιστευτήρια μέσω της υπηρεσίας Local Security Authority Subsystem Service (LSASS).
Τα κλεμμένα διαπιστευτήρια τους επιτρέπουν να αναπτύξουν ένα web shell βασισμένο στην Awen για να εξάγουν και να διατηρήσουν δεδομένα στο παραβιασμένο σύστημα.
Όπως δήλωσε ο επικεφαλής αναλυτής της Mandiant Intelligence, John Hultquist, αυτές οι εισβολές σε οργανισμούς κρίσιμων υποδομών των ΗΠΑ αποτελούν μια συντονισμένη προσπάθεια να δοθεί το πλεονέκτημα στην Κίνα σε περίπτωση μελλοντικής σύγκρουσης μεταξύ των δύο χωρών. ‘Φαίνεται να αποτελεί μέρος μιας συντονισμένης προσπάθειας να δοθεί πρόσβαση στην Κίνα σε περίπτωση μελλοντικής σύγκρουσης μεταξύ των δύο χωρών.
‘Υπάρχουν πολλοί λόγοι για τη στοχοποίηση κρίσιμων υποδομών, αλλά η αδιάκοπη εστίαση σε αυτούς τους τομείς μπορεί να υποδηλώνει προετοιμασίες για διασπαστικές ή καταστροφικές επιθέσεις στον κυβερνοχώρο', δήλωσε ο Hultquist.
‘Τα κράτη προβαίνουν σε μακροχρόνιες εισβολές σε κρίσιμες υποδομές για να προετοιμαστούν για πιθανές συγκρούσεις. Παρόμοιες εισβολές έκτακτης ανάγκης πραγματοποιούνται τακτικά από τα κράτη.
‘Κατά την τελευταία δεκαετία, η Ρωσία έχει στοχεύσει αρκετές τοποθεσίες κρίσιμων υποδομών σε επιχειρήσεις που δεν θα μπορούσαν να θεωρηθούν επιχειρήσεις ταχείας εκτόξευσης. Η Κίνα έχει στοχεύσει ομοίως τον τομέα του πετρελαίου και του φυσικού αερίου στο παρελθόν. Ενώ οι επιχειρήσεις αυτές είναι επιθετικές και δυνητικά επικίνδυνες, δεν υποδηλώνουν απαραίτητα ότι επίκειται επίθεση”.
Η Microsoft δήλωσε ότι ακολούθησε τις συνήθεις διαδικασίες της και επικοινώνησε προληπτικά με όλους τους πελάτες που αποτέλεσαν στόχο ή παραβιάστηκαν σε αυτές τις επιθέσεις, παρέχοντάς τους τις πληροφορίες που χρειάζονταν για να προστατεύσουν τα δίκτυά τους από μελλοντικές απόπειρες παραβίασης.
