La vostra organizzazione è al sicuro dagli attacchi di Volt Typhoon?

L'origine di Volt Typhoon

Volt Typhoon è un gruppo di minacce avanzate persistenti (APT) sponsorizzato dallo Stato e legato alla Repubblica Popolare Cinese (RPC). Attiva almeno dalla metà del 2021, questa APT è nota per aver preso di mira organizzazioni di infrastrutture critiche negli Stati Uniti. Le sue operazioni sono caratterizzate da tattiche furtive, con la tastiera in mano, finalizzate allo spionaggio e al mantenimento dell'accesso per l'esfiltrazione di dati a lungo termine. Volt Typhoon fa parte del più ampio programma di spionaggio informatico della Cina, che si concentra sulla compromissione di obiettivi strategici e sull'elusione del rilevamento, affidandosi in larga misura a strumenti Windows integrati e a tecniche di "living-off-the-land".

Obiettivi

Volt TyphoonObiettivi

Paesi destinatari di Volt Typhoon

Sebbene la sua attenzione principale sia stata rivolta agli Stati Uniti, le attività di Volt Typhoonprobabilmente non sono limitate geograficamente, dati gli obiettivi globali dell'intelligence cinese. Le operazioni del gruppo mirano a monitorare e potenzialmente sfruttare gli avversari geopolitici.

Industrie interessate da Volt Typhoon

Volt Typhoon si concentra su settori di importanza strategica, tra cui le telecomunicazioni, l'industria manifatturiera, i fornitori di servizi e i settori delle infrastrutture critiche come l'energia e i trasporti. Questi obiettivi suggeriscono una motivazione per raccogliere informazioni e potenzialmente interrompere le operazioni.

Industrie interessate da Volt Typhoon

Volt Typhoon si concentra su settori di importanza strategica, tra cui le telecomunicazioni, l'industria manifatturiera, i fornitori di servizi e i settori delle infrastrutture critiche come l'energia e i trasporti. Questi obiettivi suggeriscono una motivazione per raccogliere informazioni e potenzialmente interrompere le operazioni.

Volt Typhoonvittime

Sebbene le organizzazioni specifiche siano spesso non rivelate, Volt Typhoon è stato osservato mentre comprometteva entità di infrastrutture critiche e sfruttava i sistemi compromessi per la raccolta di dati. Le loro tattiche suggeriscono che si concentrano su organizzazioni che possono fornire informazioni preziose per vantaggi strategici nazionali.

Metodo di attacco

Volt Typhoondel metodo Attach

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Volt Typhoon sfrutta le vulnerabilità dei dispositivi rivolti a Internet, in particolare delle apparecchiature di rete SOHO (Small Office/Home Office), per ottenere l'accesso iniziale. Le tecniche includono lo spraying di password e lo sfruttamento di protocolli di gestione remota scarsamente protetti.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Una volta stabilito l'accesso, il gruppo eleva i privilegi per ottenere un controllo di livello superiore sulla rete compromessa. Questo spesso comporta l'abuso di credenziali legittime.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Volt Typhoon si affida a tecniche di "living-off-the-land", utilizzando esclusivamente strumenti Windows integrati come PowerShell e Windows Management Instrumentation (WMI) per evitare il rilevamento. Evitano di distribuire malware per mantenere la segretezza.

‍

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Raccolgono le credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno di reti compromesse.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Il gruppo utilizza i comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo un movimento laterale e un ulteriore sfruttamento.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Volt Typhoon utilizza i servizi remoti e RDP per navigare tra i sistemi compromessi mantenendo la sicurezza operativa.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

I dati di interesse, come le comunicazioni e-mail, i file sensibili e le informazioni relative all'infrastruttura, vengono identificati e raccolti.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

La fase di esecuzione comprende l'esecuzione di script e comandi per mantenere la persistenza e raggiungere gli obiettivi operativi.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Esfiltrano i dati raccolti utilizzando protocolli di rete standard per confondersi con il normale traffico ed eludere il rilevamento.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Volt Typhoon si concentra principalmente sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.

Accesso iniziale

Volt Typhoon sfrutta le vulnerabilità dei dispositivi rivolti a Internet, in particolare delle apparecchiature di rete SOHO (Small Office/Home Office), per ottenere l'accesso iniziale. Le tecniche includono lo spraying di password e lo sfruttamento di protocolli di gestione remota scarsamente protetti.

Escalation dei privilegi

Una volta stabilito l'accesso, il gruppo eleva i privilegi per ottenere un controllo di livello superiore sulla rete compromessa. Questo spesso comporta l'abuso di credenziali legittime.

Difesa Evasione

Volt Typhoon si affida a tecniche di "living-off-the-land", utilizzando esclusivamente strumenti Windows integrati come PowerShell e Windows Management Instrumentation (WMI) per evitare il rilevamento. Evitano di distribuire malware per mantenere la segretezza.

‍

Accesso alle credenziali

Raccolgono le credenziali utilizzando strumenti come Mimikatz e cercano informazioni sensibili all'interno di reti compromesse.

Scoperta

Il gruppo utilizza i comandi per identificare le configurazioni di sistema, gli account utente e la topologia di rete, consentendo un movimento laterale e un ulteriore sfruttamento.

Movimento laterale

Volt Typhoon utilizza i servizi remoti e RDP per navigare tra i sistemi compromessi mantenendo la sicurezza operativa.

Collezione

I dati di interesse, come le comunicazioni e-mail, i file sensibili e le informazioni relative all'infrastruttura, vengono identificati e raccolti.

Esecuzione

La fase di esecuzione comprende l'esecuzione di script e comandi per mantenere la persistenza e raggiungere gli obiettivi operativi.

Esfiltrazione

Esfiltrano i dati raccolti utilizzando protocolli di rete standard per confondersi con il normale traffico ed eludere il rilevamento.

Impatto

Volt Typhoon si concentra principalmente sulla raccolta di informazioni a lungo termine piuttosto che su azioni di disturbo immediate. Tuttavia, le sue capacità potrebbero consentire future operazioni di sabotaggio.

MITRE ATT&CK Mappatura

I TTP utilizzati da Volt Typhoon

TA0001: Initial Access

T1078

Valid Accounts

TA0002: Execution

T1203

Exploitation for Client Execution

T1059

Command and Scripting Interpreter

T1047

Windows Management Instrumentation

TA0003: Persistence

T1078

Valid Accounts

TA0004: Privilege Escalation

T1078

Valid Accounts

TA0005: Defense Evasion

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

T1087

Account Discovery

T1016

System Network Configuration Discovery

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

T1071

Application Layer Protocol

TA0010: Exfiltration

No items found.

TA0040: Impact

No items found.

Rilevamenti della piattaforma

Come rilevare Volt Typhoon con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che potrebbero indicare un attacco informatico.

DOMANDE FREQUENTI