Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), wraz z agencjami wywiadowczymi z sojuszu Anglophone Five Eyes, wydał wytyczne podkreślając kampanię sponsorowanej przez państwo chińskiej działalności ukierunkowanej na sieci krytycznej infrastruktury krajowej (CNI).
Współpraca z firmą Microsoft — która przypisała kampanię złośliwej aktywności zaawansowanemu ugrupowaniu trwałego zagrożenia nazwano go Volt Typhoon mający niedawno zrewidowała swoją taksonomię nazewnictwa aktorów zagrożeń – ujawnienie społeczności wywiadowczej zawiera techniczne wskaźniki kompromisu oraz przykłady taktyk, technik i procedur stosowanych przez grupę.
„Ważne jest, aby operatorzy krytycznej infrastruktury krajowej podjęli działania zapobiegające ukrywaniu się atakujących w ich systemach, jak opisano w tym wspólnym poradniku z naszymi międzynarodowymi partnerami” — powiedział Paul Chichester, dyrektor operacyjny NCSC.
„Zdecydowanie zachęcamy dostawców podstawowych usług w Wielkiej Brytanii do postępowania zgodnie z naszymi wskazówkami, aby pomóc wykryć tę złośliwą aktywność i zapobiec uporczywemu zagrożeniu”.
Według Microsoftu, Volt Typhoon był aktywny przez około dwa lata i atakował wielu operatorów CNI na terytorium wyspy Guam na Pacyfiku, a także w samych Stanach Zjednoczonych. Do docelowych organizacji należą dostawcy usług komunikacyjnych, producenci, przedsiębiorstwa użyteczności publicznej, operatorzy transportowi, firmy budowlane, firmy informatyczne, instytucje edukacyjne i organy rządowe.
Według The New York Times, skupienie się na Guam jest szczególnie niepokojące biorąc pod uwagę bliskość tego terytorium do Tajwanu i jego wartość dla Stanów Zjednoczonych w zorganizowaniu odpowiedzi wojskowej w obronie Tajwanu czy Chiny go zaatakują.
Microsoft powiedział, że na podstawie zaobserwowanego zachowania Volt Typhoon „zamierza szpiegować i utrzymywać dostęp bez wykrycia tak długo, jak to możliwe”.
Ma tendencję do uzyskiwania dostępu do sieci ofiar za pośrednictwem podatnych na ataki urządzeń Fortinet FortiGuard, a następnie wtapia się w normalną aktywność sieciową, kierując swój ruch przez zainfekowane urządzenia brzegowe sieci małych i domowych biur (Soho), w tym sprzęt Asus, Cisco, D-Link, Netgear i Zyxel.
Po zagnieżdżeniu się w sieci docelowej Volt Typhoon staje się szczególnie niewidoczny, wykorzystując techniki i pliki binarne „żyjące poza ziemią” (LOLbins) do wydobywania danych i danych uwierzytelniających. To sprawia, że wykrycie jego aktywności jest szczególnie makabrycznym wyzwaniem dla obrońców, ponieważ LOLbiny to „naturalnie występujące” narzędzia i pliki wykonywalne w systemie operacyjnym wykorzystywane do legalnych celów.
Marc Burnard, starszy konsultant Secureworks ds. badań nad bezpieczeństwem informacji i kierownik tematyczny w Chinach, powiedział, że grupa – którą Secureworks zalicza do Brązowej Sylwetki – „konsekwentnie koncentruje się” na bezpieczeństwie operacyjnym – minimalizując swój ślad, wdrażając zaawansowane techniki w celu uniknięcia wykrycia i wykorzystując wcześniej uszkodzoną infrastrukturę.
„Pomyśl o szpiegu działającym pod przykrywką, jego celem jest wtopienie się i pozostanie niezauważonym” – powiedział. „Właśnie to robi Bronze Silhouette, naśladując zwykłą aktywność sieciową. Sugeruje to poziom dojrzałości operacyjnej i przestrzeganie modus operandi, który został zaprojektowany w celu zmniejszenia prawdopodobieństwa wykrycia i przypisania aktywności grupy włamań.
„Włączenie bezpieczeństwa operacyjnego, szczególnie w przypadku organizacji zachodnich, jest zgodne z kompromisami sieciowymi, które badacze CTU przypisywali chińskim grupom zagrożeń w ostatnich latach” – dodał Burnard.
„Zmiany te były prawdopodobnie spowodowane serią głośnych aktów oskarżenia Departamentu Sprawiedliwości Stanów Zjednoczonych wobec obywateli Chin rzekomo zaangażowanych w działalność cyberszpiegowską, publicznego ujawnienia tego rodzaju działalności przez dostawców zabezpieczeń, co prawdopodobnie spowodowało zwiększoną presję ze strony kierownictwa w Chińskiej Republice Ludowej, aby uniknąć publicznej kontroli swojej działalności w zakresie cyberszpiegostwa.
„Chiny są znane z wysokich umiejętności w zakresie cyberszpiegostwa, a Bronze Silhouette zwraca uwagę na ich nieustanne skupienie się na adaptacji, aby osiągnąć ostateczny cel, jakim jest zdobycie poufnych informacji” – powiedział.
Przewodnictwo
Microsoft powiedział, że organizacje, które zostały dotknięte przez Volt Typhoon, powinny natychmiast zamknąć lub zmienić dane uwierzytelniające na wszystkich kontach, których dotyczy problem, i zbadać ich aktywność pod kątem wszelkich złośliwych działań lub ujawnionych danych.
Organizacje dysponują również różnymi narzędziami do obrony przed tą działalnością, z których wiele należy do kategorii podstawowej higieny bezpieczeństwa cybernetycznego. Obejmują one:
- Egzekwowanie odpowiednich zasad uwierzytelniania wieloskładnikowego i zarządzania poświadczeniami;
- Zmniejszenie powierzchni ataku poprzez umożliwienie regułom blokowania kradzieży danych uwierzytelniających, tworzenia procesów i wykonywania potencjalnie zaciemnionych skryptów;
- Wzmocnienie procesu usługi podsystemu urzędu bezpieczeństwa lokalnego poprzez włączenie funkcji Protective Process Light dla LSASS na urządzeniach z systemem Windows 11 oraz funkcji Windows Defender Credential Guard, jeśli domyślnie nie jest włączona;
- Włączenie ochrony dostarczanej w chmurze dostępnej za pośrednictwem programu antywirusowego Microsoft Defender;
- Uruchamianie wykrywania punktów końcowych i reagowanie w trybie blokowania, aby umożliwić usłudze Microsoft Defender for Endpoint blokowanie złośliwych artefaktów, nawet jeśli produkt antywirusowy firmy innej niż Microsoft ich nie wykrył.
Chiny kontratakują
Tymczasem rząd Chin zareagował gniewnie na ujawnienia, oskarżając sojusz Five Eyes o prowadzenie kampanii dezinformacyjnej.
Rzecznik chińskiego MSZ powiedział, że raport był „wyjątkowo nieprofesjonalny” i nie poparty wystarczającymi dowodami.