Il gruppo cinese noto come Volt Typhoon ha mantenuto l’accesso alle infrastrutture di rete degli Stati Uniti per almeno 5 anni. L’inquietante scoperta è stata confermata da CISA, NSA e FBI nel report che descrive le tecniche utilizzate dai cybercriminali. Le tre agenzie e i partner consigliano alle organizzazioni di implementare le necessarie misure protettive.
Accesso con tecnica LOTL
Le agenzie statunitensi hanno rilevato la presenza di Volt Typhoon negli ambienti IT di varie aziende che gestiscono infrastrutture critiche, principalmente nei settori energia, trasporti, comunicazioni, sistemi idrici e acque reflue. Prima di avviare l’attacco, i cybercriminali cinesi effettuano una “ricognizione” per individuare l’architettura della rete e le attività del personale.
L’accesso iniziale viene ottenuto principalmente sfruttando vulnerabilità zero-day dei dispositivi di rete, tra cui router e firewall. L’intrusione avviene solitamente con VPN. Volt Typhoon trova successivamente le credenziali di amministratore tramite vulnerabilità del sistema operativo o dei servizi di rete ed effettua il movimento laterale con RDP (Remote Desktop Protocol).
Per esplorare la rete vengono utilizzati diversi tool legittimi di Windows per evitare la rilevazione da parte delle soluzioni di sicurezza, tra cui PowerShell. La tecnica è nota come LOTL (Living Off The Land). I cybercriminali estraggono quindi le password dal database di Active Directory e, utilizzando i privilegi elevati, eseguono varie attività di spionaggio, tra cui il furto di dati sensibili (inviati al server C2).
In alcuni casi mettono in atto anche attività distruttive, come l’interruzione di alimentazione e la manipolazione dei sistemi HVAC (riscaldamento, ventilazione e condizionamento), causando danni all’infrastruttura. Le tre agenzie hanno pubblicato vari suggerimenti per identificare le attività dei cybercriminali e proteggere i sistemi IT.