Η Microsoft ανακοίνωσε ότι υπάρχει μια hacking ομάδα που ασχολείται με την κυβερνοκατασκοπεία, και παρακολουθείται ως Volt Typhoon. Οι Κινέζοι hackers Volt Typhoon στοχεύουν οργανισμούς που σχετίζονται με κρίσιμες υποδομές σε όλες τις ΗΠΑ, συμπεριλαμβανομένου του Γκουάμ, ενός νησιού που φιλοξενεί πολλές στρατιωτικές βάσεις. Οι επιθέσεις πραγματοποιούνται τουλάχιστον από τα μέσα του 2021.
Οι στόχοι και οι οντότητες που παραβιάστηκαν αφορούν σημαντικούς τομείς όπως η κυβέρνηση, η ναυτιλία, οι επικοινωνίες, η μεταποίηση, η τεχνολογία πληροφοριών, οι υπηρεσίες κοινής ωφέλειας, οι μεταφορές, οι κατασκευές και η εκπαίδευση.
“Η Microsoft αξιολογεί με μέτρια σιγουριά ότι αυτή η εκστρατεία της Volt Typhoon επιδιώκει την ανάπτυξη δυνατοτήτων που θα μπορούσαν να διαταράξουν μια κρίσιμη υποδομή επικοινωνιών μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων“, δήλωσε η ομάδα της Microsoft Threat Intelligence.
Δείτε επίσης: Η κατασκευάστρια εταιρεία όπλων Rheinmetall επιβεβαιώνει ότι δέχτηκε επίθεση από το BlackBasta ransomware
Η επίθεση ξεκινά συνήθως με την παραβίαση συσκευών Fortinet FortiGuard που είναι εκτεθειμένες στο Διαδίκτυο. Οι Κινέζοι hackers εκμεταλλεύονται μια άγνωστη ευπάθεια zero-day.
Μετά την παραβίαση των δικτύων, ξεκινούν αυτό που η Microsoft περιγράφει ως επιθέσεις “living-off-the-land” με δραστηριότητα hands-on-keyboard και live-off-the-land binaries (LOLBins), όπως PowerShell, Certutil, Netsh, και Windows Management Instrumentation Command-line (WMIC).
Ωστόσο, σύμφωνα με μια κοινή συμβουλευτική που δημοσιεύθηκε από το FBI, την NSA, την CISA και τη συμμαχία Five Eyes, παρατηρήθηκε ότι οι δράστες χρησιμοποιούν και εργαλεία ανοιχτού κώδικα, όπως το Fast Reverse Proxy (frp), το Mimikatz για κλοπή credentials και το Impacket networking framework.
H Volt Typhoon χρησιμοποιεί παραβιασμένο εξοπλισμό SOHO από τις εταιρείες ASUS, Cisco, D-Link, Netgear, FatPipe και Zyxel, που περιλαμβάνουν routers, firewalls και VPN, για να αποφύγει τον εντοπισμό και να διασφαλίσει ότι η κακόβουλη δραστηριότητά της συνδυάζεται με το νόμιμο network traffic.
Η προνομιακή πρόσβαση που αποκτάται μετά την παραβίαση των συσκευών Fortinet επιτρέπει στους Κινέζους hackers να χρησιμοποιούν credentials μέσω του Local Security Authority Subsystem Service (LSASS).
Δείτε επίσης: Το Legion Malware αναβαθμίστηκε για να στοχεύει SSH servers και AWS credentials
Τα κλεμμένα credentials τους επιτρέπουν να αναπτύξουν Awen-based web shells για την εξαγωγή δεδομένων και την επίτευξη persistence στα συστήματα που έχουν παραβιαστεί.
Ο επικεφαλής αναλυτής της Mandiant Intelligence, John Hultquist, δήλωσε στο BleepingComputer ότι οι εισβολές σε κρίσιμες υποδομές των ΗΠΑ μπορεί να αποτελούν μέρος μιας συντονισμένης προσπάθειας για να δοθεί στην Κίνα πρόσβαση, σε περίπτωση μελλοντικής σύγκρουσης μεταξύ των δύο χωρών.
“Υπάρχουν διάφοροι λόγοι για τους οποίους οι φορείς στοχεύουν κρίσιμες υποδομές, αλλά η επίμονη εστίαση σε αυτούς τους τομείς μπορεί να υποδηλώνει προετοιμασία για καταστροφική κυβερνοεπίθεση”, είπε ο Hultquist.
“Τα κράτη πραγματοποιούν μακροπρόθεσμες εισβολές σε κρίσιμες υποδομές για να προετοιμαστούν για πιθανή σύγκρουση, επειδή μπορεί απλώς να είναι πολύ αργά για να αποκτήσουν πρόσβαση όταν προκύψει η σύγκρουση… Κατά την τελευταία δεκαετία, η Ρωσία έχει βάλει στο στόχαστρο διάφορους τομείς ζωτικής σημασίας σε επιχειρήσεις που δεν πιστεύουμε ότι σχεδιάστηκαν για άμεσο αποτέλεσμα. Η Κίνα έχει κάνει το ίδιο στο παρελθόν, στοχεύοντας τον τομέα του πετρελαίου και του φυσικού αερίου. Αυτές οι επιχειρήσεις είναι επιθετικές και δυνητικά επικίνδυνες, αλλά δεν υποδηλώνουν απαραιτήτως ότι πλησιάζουν επιθέσεις“.
Η Microsoft προσέγγισε προληπτικά όλους τους πελάτες που είτε στοχοποιήθηκαν είτε παραβιάστηκαν από την Volt Typhoon για να τους ενημερώσει και να τους βοηθήσει να προστατεύσουν τα δίκτυά τους από μελλοντικές απόπειρες hacking.
Δείτε επίσης: WordPress: Hackers στοχεύουν 1,5 εκατομμύρια ιστότοπους
Οι κυβερνοεπιθέσεις σε κρίσιμες υποδομές είναι ένας σαφής και παρών κίνδυνος. Καθώς συνεχίζουμε να ψηφιοποιούμε βασικά συστήματα, η πιθανότητα για κυβερνοεπιθέσεις αυξάνεται. Ο αντίκτυπος τέτοιων επιθέσεων μπορεί να είναι τρομερός και είναι γνωστό ότι είναι δύσκολο να προβλεφθούν. Ωστόσο, λαμβάνοντας προληπτικά μέτρα, όπως εκτιμήσεις κινδύνου, εκπαίδευση εργαζομένων και συνεργασία, οι οργανισμοί και οι κυβερνήσεις μπορούν να μετριάσουν αυτούς τους κινδύνους. Η πορεία προς τα εμπρός απαιτεί επενδύσεις στην ασφάλεια στον κυβερνοχώρο και δέσμευση για συνεργασία για την προστασία κρίσιμων υποδομών από κυβερνοεπιθέσεις. Μόνο με συντονισμένη προσπάθεια μπορούμε να διασφαλίσουμε ότι η κοινωνία μας παραμένει ασφαλής και λειτουργεί ομαλά στην ψηφιακή εποχή.
Πηγή: www.bleepingcomputer.com