Microsoft ha scoperto un’attività malevola mirata e furtiva incentrata sull’accesso alle credenziali post-compromissione e sulla scoperta del sistema di rete mirata alle organizzazioni di infrastrutture critiche negli Stati Uniti. L’attacco è condotto da Volt Typhoon, un attore sponsorizzato dallo stato con base in Cina che si concentra tipicamente su spionaggio e raccolta di informazioni. Microsoft valuta con moderata fiducia che questa campagna di Volt Typhoon stia perseguendo lo sviluppo di capacità che potrebbero interrompere le infrastrutture di comunicazione critiche tra gli Stati Uniti e la regione asiatica durante future crisi.
Attività di Volt Typhoon
Volt Typhoon è attivo dal 2021 e ha preso di mira le organizzazioni di infrastrutture critiche a Guam e altrove negli Stati Uniti. In questa campagna, le organizzazioni colpite spaziano nei settori delle comunicazioni, della produzione, dei servizi pubblici, dei trasporti, della costruzione, marittimo, governativo, dell’informatica e dell’istruzione. Il comportamento osservato suggerisce che l’attore della minaccia intende eseguire spionaggio e mantenere l’accesso senza essere rilevato per il più lungo tempo possibile. Microsoft ha scelto di evidenziare questa attività di Volt Typhoon in questo momento a causa della nostra significativa preoccupazione per il potenziale impatto ulteriore sui nostri clienti.
Tecniche di attacco
Per raggiungere il loro obiettivo, l’attore della minaccia pone un forte accento sulla furtività in questa campagna, facendo affidamento quasi esclusivamente su tecniche “Living off the Land” e attività “hands-on-keyboard”. Emettono comandi tramite la riga di comando per (1) raccogliere dati, inclusi le credenziali dai sistemi locali e di rete, (2) mettere i dati in un file di archivio per prepararlo per l’esfiltrazione, e poi (3) utilizzare le credenziali valide rubate per mantenere la persistenza.
Accesso iniziale e attività post-compromissione
Volt Typhoon ottiene l’accesso iniziale alle organizzazioni bersaglio attraverso i dispositivi Fortinet FortiGuard rivolti a Internet. Una volta che Volt Typhoon ottiene l’accesso a un ambiente target, iniziano a condurre attività “hands-on-keyboard” tramite la riga di comando. Alcuni di questi comandi sembrano essere esplorativi o sperimentali, poichégli operatori li regolano e li ripetono più volte. Volt Typhoon utilizza raramente malware nella loro attività post-compromissione. Invece, si affidano a comandi “Living off the Land” per trovare informazioni sul sistema, scoprire ulteriori dispositivi sulla rete e esfiltrare dati.
Accesso alle credenziali
Se l’account che Volt Typhoon compromette dal dispositivo Fortinet ha accesso privilegiato, utilizzano quell’account per eseguire le seguenti attività di accesso alle credenziali. Microsoft ha osservato Volt Typhoon che tenta di scaricare le credenziali attraverso il Local Security Authority Subsystem Service (LSASS). Lo spazio di memoria del processo LSASS contiene hash per le credenziali del sistema operativo (OS) dell’utente corrente.
Scoperta e raccolta
Microsoft ha osservato Volt Typhoon scoprire informazioni sul sistema, tra cui tipi di file system; nomi delle unità, dimensioni e spazio libero; processi in esecuzione; e reti aperte. Tentano anche di scoprire altri sistemi sulla rete compromessa utilizzando PowerShell, Windows Management Instrumentation Command-line (WMIC) e il comando ping.
Comando e controllo
Nella maggior parte dei casi, Volt Typhoon accede ai sistemi compromessi effettuando l’accesso con credenziali valide, allo stesso modo in cui lo fanno gli utenti autorizzati. Tuttavia, in un piccolo numero di casi, Microsoft ha osservato gli operatori di Volt Typhoon creare proxy su sistemi compromessi per facilitare l’accesso.
Guida alla mitigazione e alla protezione
Mitigare il rischio da avversari come Volt Typhoon che si basano su account validi e binari “Living off the Land” (LOLBins) è particolarmente impegnativo. Rilevare l’attività che utilizza i normali canali di accesso e i binari del sistema richiede un monitoraggio comportamentale. La risoluzione richiede la chiusura o la modifica delle credenziali per gli account compromessi.