Краткий обзор:
- Исследователи Microsoft и федеральные власти предупреждают о вредоносном кампания против поставщиков критической инфраструктуры США, которая может быть предназначена для нарушения связи с Азией на фоне растущих боевых действий с Китайской Народной Республикой.
- Спонсируемый государством злоумышленник, которого Microsoft идентифицировала как Volt Typhoon в соответствии со своей новой таксономией имен, проводит скрытую кампанию, в ходе которой используются маршрутизаторы небольших офисов, домашние офисы, брандмауэры и VPN-устройства, чтобы слиться с обычной повседневной деятельностью. . Хакеры используют подключенные к Интернету устройства Fortinet FortiGuard, чтобы получить первоначальный доступ к компаниям, и используют скомпрометированные устройства SOHO от ряда компаний, включая ASUS, Cisco, D-Link, Netgear и Zyxel.
- Агентство по кибербезопасности и безопасности инфраструктуры вместе с ФБР, Агентством национальной безопасности и киберагентствами из «Пяти глаз» выпустили в среду рекомендации по поводу кампании. Официальные лица заявили, что хакеры используют методы выживания вне земли, чтобы слиться с обычной деятельностью Windows и избежать обнаружения с помощью программного обеспечения для обнаружения и реагирования на конечных точках.
Dive Insight:
По словам исследователей Microsoft, Volt Typhoon, активный с 2021 года, нацелен на поставщиков критически важной инфраструктуры в США и на Гуаме. Основные отрасли, на которые нацелен актер, включают коммуникации, производство, коммунальные услуги, транспорт, строительство, информационные технологии, образование и правительство.
«Противники часто нацеливаются на критически важную инфраструктуру для проведения разведки и в конечном итоге закрепляются в случае эскалации напряженности или, в худшем случае, войны, противник может вывести из строя части инфраструктуры страны», — Том Уинстон. , директор отдела разведки в Dragos, сказал по электронной почте.
Исследователи из Mandiant заявили, что узнают хакеров по предыдущим кампаниям, затрагивающим цели воздушного, морского и наземного транспорта. Новая деятельность может быть подготовкой к разрушительным или разрушительным кибератакам.
«Подготовка не означает, что атаки неизбежны», — сказал Джон Халтквист, главный аналитик Mandiant Intelligence, Google Cloud. «Государства проводят долгосрочные вторжения в критически важную инфраструктуру, чтобы подготовиться к возможному конфликту, потому что просто может быть слишком поздно для получения доступа, когда возникнет конфликт». .
По словам Microsoft, получив доступ через устройства Fortinet, хакеры пытаются использовать любые привилегии этих устройств, а затем удаляют учетные данные для учетной записи Active Directory. Затем учетные данные используются для аутентификации на других устройствах. Связаться с официальными лицами Fortinet для получения комментариев не удалось.
Исследователи Microsoft заявили, что обнаружение и пресечение атак будет затруднено из-за того, что злоумышленник полагается на активные учетные записи и двоичные файлы, живущие за пределами земли. АНБ опубликовало руководство по обнаружению и смягчению последствий деятельности, связанной с проживанием за пределами земли.