China ha atacado organizaciones de infraestructura crítica en los EE. UU. utilizando un ataque de «living off the land» que oculta acciones ofensivas entre la actividad diaria de administración de Windows.
El ataque fue detectado por Microsoft y reconocido por las agencias de inteligencia y seguridad de la información de las naciones Five Eyes: Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos.
A asesoramiento conjunto sobre seguridad cibernética [PDF] de diez agencias describe «un grupo de actividad de interés recientemente descubierto asociado con un actor cibernético patrocinado por el estado de la República Popular China (RPC), también conocido como Volt Typhoon».
Microsoft afirma que el grupo ha estado activo desde mediados de 2021 y se ha dirigido a organizaciones de infraestructura crítica en Guam y en otros lugares de los Estados Unidos.
«En esta campaña, las organizaciones afectadas abarcan los sectores de comunicaciones, fabricación, servicios públicos, transporte, construcción, marítimo, gobierno, tecnología de la información y educación», sugiere el equipo de inteligencia de amenazas del gigante del software.
Los atacantes utilizan varias tácticas para acceder a las redes de las víctimas. CVE-2021-40539 – una omisión de autenticación en ManageEngine que se ha explotado desde 2021 – es una forma de entrar. Entonces, es una falla en el software del dispositivo FatPipe MPVPN que el FBI prevenido sobre en 2021.
Los enrutadores de grado SOHO comprometidos también ayudan. La herramienta Mimikatz, que a menudo aparece en las noticias sobre ciberataques, ha sido utilizada por el equipo de Volt Typhoon.
En lo que dice Microsoft de la historia, Volt Typhoon utiliza herramientas de línea de comandos para «recopilar datos, incluidas las credenciales de los sistemas locales y de red».
La pandilla coloca esa información en un archivo que intenta filtrar y luego usa las credenciales robadas para mantener una presencia persistente en las redes de destino.
«Además, Volt Typhoon intenta integrarse en la actividad normal de la red al enrutar el tráfico a través de equipos de red comprometidos para oficinas pequeñas y oficinas en el hogar, incluidos enrutadores, firewalls y hardware VPN. También se ha observado que utilizan versiones personalizadas de herramientas de código abierto para establecer un canal de comando y control a través de proxy para permanecer aún más bajo el radar», sugiere Microsoft.
El aviso Five Eyes señala que Windows hace posible estas actividades. «Una de las principales tácticas, técnicas y procedimientos (TTP) del actor es vivir de la tierra, que utiliza herramientas de administración de red integradas para realizar sus objetivos», afirma el aviso. «Este TTP permite al actor evadir la detección mezclándose con las actividades normales del sistema y de la red de Windows, evitar los productos de detección y respuesta de punto final (EDR) que alertarían sobre la introducción de aplicaciones de terceros en el host y limitar la cantidad de actividad. que se captura en las configuraciones de registro predeterminadas”.
PowerShell, wmic, ntdsutil y netsh se encuentran entre las herramientas favoritas de Volt Typhoon.
Eso dificulta la vida de los usuarios porque, como señala el aviso, «algunas líneas de comando pueden aparecer en un sistema como resultado de una actividad benigna y serían indicadores falsos positivos de actividad maliciosa.
«Los defensores deben evaluar las coincidencias para determinar su importancia, aplicando su conocimiento del sistema y el comportamiento de referencia. Además, si crean una lógica de detección basada en estos comandos, los defensores de la red deben tener en cuenta la variabilidad en los argumentos de la cadena de comandos, ya que elementos como los puertos utilizados pueden ser difieren entre entornos».
No hay una sola forma de defenderse contra Volt Typhoon. El aviso recomienda seis acciones, a saber:
- Reforzar los controladores de dominio y monitorear los registros de eventos, con un enfoque en observar ntdsutil.exe y creaciones de procesos similares;
- Limitar el uso de proxy de puerto dentro de los entornos y habilitarlos solo durante el período de tiempo en que se requieren;
- Investigar direcciones IP y puertos inusuales en líneas de comando, entradas de registro y registros de firewall para identificar hosts que los atacantes pueden estar usando;
- Revisar las configuraciones del cortafuegos perimetral en busca de cambios y/o entradas no autorizados que puedan permitir conexiones externas a hosts internos;
- Busque actividad anormal en la cuenta, como inicios de sesión fuera del horario laboral normal e inicios de sesión imposibles de tiempo y distancia; y
- Reenvío de archivos de registro a un servidor de registro centralizado reforzado, preferiblemente en una red segmentada.
Las noticias de las supuestas actividades de Volt Typhoon se suman a las muchas acusaciones de que China tiene equipos dedicados a atacar a gobiernos y empresas extranjeras. Estados Unidos afirma que China es su enemigo en línea más prolífico y emplea 50 atacantes por cada defensa estadounidense. China ha respondido con un afirmar Estados Unidos es un «Imperio de la piratería».
Mientras discuten, registro los lectores se quedan con el tipo de lista defensiva de tareas pendientes descrita anteriormente. ®