Microsoft e le agenzie di intelligence delle nazioni del “Five Eyes” hanno recentemente rivelato che un gruppo con base in Cina, monitorato con il nome di Volt Typhoon, ha infiltrato indisturbato organizzazioni di infrastrutture critiche negli Stati Uniti e a Guam. Attivo dal giugno 2021, questo attore sponsorizzato dallo stato si concentra su spionaggio e raccolta di informazioni. Utilizzano strumenti già installati o integrati nelle macchine infettate per rimanere indetectati, prendendo di mira settori come le comunicazioni, la produzione, le utility, i trasporti, l’edilizia, il marittimo, il governo, la tecnologia dell’informazione e l’istruzione.
Microsoft ritiene moderatamente che la campagna stia sviluppando capacità che potrebbero interrompere le infrastrutture critiche di comunicazione tra gli Stati Uniti e l’Asia durante future crisi. Il gruppo impiega tecniche di vivere-di-cosa-si-trova (LotL) per esfiltrare dati dalle applicazioni del browser web locale e sfruttare le credenziali rubate per l’accesso backdoor. Inoltre, instradano il traffico attraverso attrezzature di rete compromesse per piccoli uffici e home office (SOHO), inclusi router, firewall e hardware VPN.
È stato osservato che il gruppo utilizza versioni personalizzate di strumenti open source per stabilire un canale di comando e controllo (C2) attraverso proxy e server compromessi nella sua rete proxy C2 per nascondere l’origine degli attacchi. In un incidente degno di nota, il gruppo ha violato le reti di telecomunicazioni sull’isola di Guam, un delicato avamposto militare statunitense nell’Oceano Pacifico, e ha installato un web shell maligno.
Il vettore di ingresso iniziale coinvolge lo sfruttamento di dispositivi Fortinet FortiGuard rivolti verso Internet attraverso un difetto zero-day sconosciuto, sebbene Volt Typhoon abbia anche armato difetti nei server Zoho ManageEngine. Microsoft ha assistito i clienti bersagliati o compromessi nel garantire i loro ambienti, ma avverte che mitigare tali rischi può essere impegnativo quando gli attori delle minacce utilizzano account validi e binari viventi-di-cosa-si-trova (LOLBins).
Secureworks, che monitora il gruppo di minacce come Bronze Silhouette, ha notato la cautela del gruppo nella sicurezza operativa e la dipendenza da infrastrutture compromesse per prevenire il rilevamento e l’attribuzione della sua attività di intrusione. Questa rivelazione coincide con il report di Reuters che gli hacker cinesi hanno preso di mira il governo del Kenya in una serie di attacchi durata tre anni, presumibilmente per ottenere informazioni sul debito del Kenya a Pechino. Si sospetta che l’offensiva digitale sia stata condotta da BackdoorDiplomacy (noto anche come APT15, Playful Taurus o Vixen Panda), un gruppo noto per aver preso di mira entità governative e diplomatiche in varie regioni dal 2010.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.