Microsoft ha scoperto un attacco effettuato contro le infrastrutture critiche gestite da alcune aziende statunitensi. Gli autori sono i cybercriminali del gruppo Volt Typhoon, finanziati dal governo cinese, che eseguono principalmente attività di spionaggio utilizzando varie tecniche, tra cui quella nota come “living off the land”, che prevede l’uso di tool legittimi del sistema operativo.
Volt Typhoon colpisce le infrastrutture USA
L’accesso iniziale alle reti aziendali avviene tramite exploit per i dispositivi Fortinet FortiGuard, dai quali sono estratte le credenziali dell’account Active Directory. Per nascondere la provenienza del traffico vengono utilizzati vari dispositivi di rete compromessi come proxy, tra cui quelli di ASUS, Cisco, D-Link, Netgear e Zyxel.
I cybercriminali usano i tool del sistema operativo, tra cui PowerShell, WMIC e Ntdsutil, per le successive attività. Grazie all’account con privilegi elevati estratto dai dispositivi Fortinet, Volt Typhoon effettua il dump della memoria del processo LSASS e quindi decodifica le credenziali di Windows. Lo stesso risultato viene ottenuto con la creazione di un media di installazione del controller di dominio (che contiene username e hash delle password).
Vengono quindi raccolte varie informazioni sul sistema locale, su quelli collegati alla stessa rete e verificata la presenza degli ambienti di virtualizzazione. I cybercriminali rubano anche dati dai browser e dagli archivi protetti da password. Per stabilire una connessione con il server C2 (command and control) possono essere utilizzati tool open source come Impacket e Fast Reverse Proxy.
Questo tipo di attacchi sono difficili da rilevare, in quanto sono usati tool legittimi. Microsoft consiglia di scegliere password robuste, cambiarle spesso e attivare l’autenticazione multi-fattore.