Volt Typhoon
Volt Typhoon un gruppo APT furtivo sponsorizzato dallo Stato e associato alla Repubblica Popolare Cinese, che prende di mira organizzazioni infrastrutturali critiche principalmente negli Stati Uniti.
L'origine del Volt Typhoon
Volt Typhoon un gruppo di minacce persistenti avanzate (APT) sponsorizzato dallo Stato e collegato alla Repubblica Popolare Cinese (RPC). Attivo almeno dalla metà del 2021, questo APT è noto per prendere di mira le organizzazioni che gestiscono infrastrutture critiche negli Stati Uniti. Le sue operazioni sono caratterizzate da tattiche furtive e hands-on-keyboard volte allo spionaggio e al mantenimento dell'accesso per l'esfiltrazione di dati a lungo termine. Volt Typhoon parte di un più ampio programma di spionaggio informatico cinese, incentrato sulla compromissione di obiettivi strategici e sull'elusione dei sistemi di rilevamento, facendo ampio ricorso agli strumenti integrati in Windows e alle tecniche "living-off-the-land".
Paesi colpiti dal Volt Typhoon
Sebbene il suo obiettivo principale siano stati gli Stati Uniti, le attività Volt Typhoonnon sembrano limitate geograficamente, dati gli obiettivi di intelligence globali della Cina. Le operazioni del gruppo mirano a monitorare e potenzialmente sfruttare gli avversari geopolitici.
Settori interessati da Volt Typhoon
Volt Typhoon su settori di importanza strategica, tra cui telecomunicazioni, produzione, fornitori di servizi pubblici e infrastrutture critiche come energia e trasporti. Questi obiettivi suggeriscono una motivazione a raccogliere informazioni e potenzialmente interrompere le operazioni.
Le vittime Volt Typhoon
Sebbene spesso le organizzazioni specifiche non vengano rese note, Volt Typhoon stato osservato mentre comprometteva entità infrastrutturali critiche e sfruttava sistemi compromessi per la raccolta di dati. Le loro tattiche suggeriscono un'attenzione particolare alle organizzazioni che possono fornire informazioni preziose per ottenere vantaggi strategici a livello nazionale.
Metodo di attacco Volt Typhoon
Volt Typhoon le vulnerabilità dei dispositivi connessi a Internet, in particolare delle apparecchiature di rete dei piccoli uffici/uffici domestici (SOHO), per ottenere l'accesso iniziale. Le tecniche utilizzate includono lo spraying delle password e lo sfruttamento di protocolli di gestione remota poco sicuri.
Una volta stabilito l'accesso, il gruppo eleva i privilegi per ottenere un controllo di livello superiore sulla rete compromessa. Ciò comporta spesso l'uso improprio di credenziali legittime.
Volt Typhoon su tecniche di living-off-the-land, utilizzando esclusivamente strumenti Windows integrati come PowerShell e Windows Management Instrumentation (WMI) per evitare il rilevamento. Evitano di distribuire malware mantenere la furtività.
Raccolgono credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno delle reti compromesse.
Il gruppo utilizza comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo movimenti laterali e ulteriori sfruttamenti.
Volt Typhoon servizi remoti e RDP per navigare attraverso sistemi compromessi mantenendo la sicurezza operativa.
I dati di interesse, quali comunicazioni e-mail, file sensibili e informazioni relative all'infrastruttura, vengono identificati e raccolti.
La fase di esecuzione comprende l'esecuzione di script e comandi per mantenere la persistenza e raggiungere gli obiettivi operativi.
Esfiltrano i dati raccolti utilizzando protocolli di rete standard per confonderli con il traffico normale ed eludere il rilevamento.
Volt Typhoon si concentra Volt Typhoon sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.
Volt Typhoon le vulnerabilità dei dispositivi connessi a Internet, in particolare delle apparecchiature di rete dei piccoli uffici/uffici domestici (SOHO), per ottenere l'accesso iniziale. Le tecniche utilizzate includono lo spraying delle password e lo sfruttamento di protocolli di gestione remota poco sicuri.
Una volta stabilito l'accesso, il gruppo eleva i privilegi per ottenere un controllo di livello superiore sulla rete compromessa. Ciò comporta spesso l'uso improprio di credenziali legittime.
Volt Typhoon su tecniche di living-off-the-land, utilizzando esclusivamente strumenti Windows integrati come PowerShell e Windows Management Instrumentation (WMI) per evitare il rilevamento. Evitano di distribuire malware mantenere la furtività.
Raccolgono credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno delle reti compromesse.
Il gruppo utilizza comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo movimenti laterali e ulteriori sfruttamenti.
Volt Typhoon servizi remoti e RDP per navigare attraverso sistemi compromessi mantenendo la sicurezza operativa.
I dati di interesse, quali comunicazioni e-mail, file sensibili e informazioni relative all'infrastruttura, vengono identificati e raccolti.
La fase di esecuzione comprende l'esecuzione di script e comandi per mantenere la persistenza e raggiungere gli obiettivi operativi.
Esfiltrano i dati raccolti utilizzando protocolli di rete standard per confonderli con il traffico normale ed eludere il rilevamento.
Volt Typhoon si concentra Volt Typhoon sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.
TTP utilizzati da Volt Typhoon
Come rilevare Volt Typhoon Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco informatico.