Microsoft i les agències d’intel·ligència de les nacions “Five Eyes” han revelat recentment que un grup amb seu a la Xina, seguit sota el nom de Volt Typhoon, ha infiltrat organitzacions d’infraestructura crítica als Estats Units i a Guam de manera indetectable. Actiu des de juny de 2021, aquest actor patrocinat per l’estat es centra en l’espionatge i la recopilació d’informació. Utilitzen eines ja instal·lades o integrades en màquines infectades per a romandre indetectables, amb objectius en sectors com les comunicacions, la manufactura, els serveis públics, el transport, la construcció, el marítim, el govern, la tecnologia de la informació i l’educació.
Microsoft creu moderadament que la campanya està desenvolupant capacitats que podrien interrompre la infraestructura de comunicacions crítica entre els Estats Units i Àsia durant futures crisis. El grup utilitza tècniques de viure-de-la-terra (LotL) per exfiltrar dades d’aplicacions de navegadors web locals i aprofitar credencials robades per a l’accés de porta del darrere. A més, dirigeixen el trànsit a través d’equips de xarxa compromesos de petites oficines i oficines a casa (SOHO), incloent routers, firewalls i maquinari VPN.
També s’ha observat que el grup utilitza versions personalitzades d’eines de codi obert per establir un canal de comandament i control (C2) a través de servidors proxy i compromesos a la seva xarxa proxy C2 per ocultar l’origen dels atacs. En un incident notable, el grup va violar les xarxes de telecomunicacions a l’illa de Guam, un avançat militar sensible dels Estats Units a l’oceà Pacífic, i va instal·lar una shell web maliciosa.
El vector d’entrada inicial implica l’explotació de dispositius Fortinet FortiGuard orientats a Internet a través d’una fallada de dia zero desconeguda, encara que Volt Typhoon també ha armat fallades en servidors Zoho ManageEngine. Microsoft ha estat assistint clients objectiu o compromesos per assegurar els seus entorns, però adverteix que mitigar aquests riscos pot ser desafiant quan els actors de les amenaces utilitzen comptes vàlids i binaris viure-de-la-terra (LOLBins).
Secureworks, que segueix al grup d’amenaces com a Bronze Silhouette, ha assenyalat la meticulosa seguretat operacional del grup i la seva dependència d’infraestructures compromeses per prevenir la detecció i atribució de la seva activitat d’intrusió. Aquesta revelació coincideix amb l’informe de Reuters que assenyala que hackers xinesos han estat atacant el govern de Kenya en una sèrie d’atacs que s’han prolongat durant tres anys, presumptament per obtenir informació sobre el deute de Kenya a Pequín. Es sospita que l’ofensiva digital ha estat portada a terme per BackdoorDiplomacy (també conegut com APT15, Playful Taurus, o Vixen Panda), un grup conegut per atacar entitats governamentals i diplomàtiques a diverses regions des de 2010.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.