Volt Typhoon u kritičnim sistemima
Volt Typhoon u kritičnim sistemima, stiglo je upozorenje američke vlade koje se nadovezuje na otkriće kompanije Microsoft od 23. maja 2023. godine. Upozorenje se naglašava na opasnost od hakerske grupe Volt Typhoon koju podržava Kina, a koja nastavlja da se probiju u IT mreže organizacija za komunikacije, energetiku, transport, vodosnabdijevanje i upravljanje otpadnim vodama.
Volt Typhoon u kritičnim sistemima; Source: Bing Image Creator
Zajedničke smjernice su izdale Agencija za sajber bezbjednost i infrastrukturu (CISA), Federalni istražni biro (FBI) i Agencija za nacionalnu bezbjednost (NSA) priznajući realnost da je Kina već ugrozila kritične sisteme. Do kompromisa sistema je došlo kroz produženi pristup, stvaranjem uporišta u kritičnim infrastrukturnim ciljevima već godinama koristeći legitimne alate ili tehniku “stapanje sa okolinom” (eng. Living off the Land – LotL).
“Podaci i informacije koje su prikupili CISA i njeni partneri iz američke vlade snažno ukazuju na to da se NR Kina pozicionira za pokretanje destruktivnih sajber napada koji bi ugrozili fizičku sigurnost amerikanaca i ometali vojnu spremnost u slučaju velike krize ili sukoba sa Sjedinjenim Američkim Državama.”
VOLT TYPHOON
Volt Typhoon je zlonamjerni akter kojeg podržava Kina i koji je još poznat pod nazivima Vanguard Panda, Brronze Silhouette, Dev–0391, UNC3236, Voltzite i Insidious Taurus a obično se fokusira na špijunažu i prikupljanje informacija. Istraživanja kompanije Microsoft sa određenom dozom uvjerenja pokazuju da Volt Typhoon zlonamjerni akter teži razvoju sposobnosti koje bi mogle da poremete kritičnu komunikacionu infrastrukturu između regiona Sjedinjenih Američkih Država i Azije tokom budućih kriza.
Zlonamjerni akter funkcioniše tako što iskorištava ranjivosti u malim ruterima i ruterima na kraju životnog vijeka, zaštitnim zidovima (eng. firewalls) i virtuelnim privatnim mrežama (VPN), često koristeći administratorske akreditive i ukradene lozinke, ili koristeći prednosti zastarele tehnologije koja nije imala redovna bezbjednosna ažuriranja – ključne slabosti identifikovane u digitalnoj infrastrukturi SAD.
STAPANJE SA OKOLINOM
Korištenjem tehnike stapanja sa okolinom omogućava zlonamjernim akterima da se stapaju sa normalnim sistemskim i mrežnim aktivnostima, izbjegavaju identifikaciju od strane mrežne odbrane i ograničavaju količinu aktivnosti koja je uhvaćena u uobičajenim konfiguracijama evidentiranja. Zbog toga, otkrivanje i ublažavanje ove vrste zlonamjerne sajber aktivnosti zahteva višestruki i sveobuhvatan pristup da se napravi razlika između legitimnog i zlonamjernog ponašanja uz sprovođenje analize ponašanja, otkrivanje anomalija i proaktivno traženje. Najveća korist od tehnike stapanja sa okolinom je u tome što zlonamjerni softver koristi samo postojeće resurse u operativnom sistemu onoga na šta cilja, umjesto da uvodi novu datoteku koja bi mogla dovesti do otkrivanja prisustva.
“Današnji zajednički savjeti i vodič su rezultat efikasne, uporne operativne saradnje sa našom industrijom, saveznim i međunarodnim partnerima i odražavaju našu stalnu posvećenost pružanju pravovremenih, djelotvornih smjernica za sve naše zainteresovane strane. Mi smo u kritičnom trenutku za našu nacionalnu bezbjednost. Snažno ohrabrujemo sve organizacije za kritičnu infrastrukturu da pregledaju i sprovedu savjetovane radnje i prijave CISA ili FBI bilo kakvu sumnju na Volt Typhoon ili aktivnosti stapanja sa okolinom.”
– Jen Easterly, CISA Director –
DOBIJANJE PRISTUPA
Volt Typhoon zlonamjerni akter obično dobija početni pristup ciljnim organizacijama preko Fortinet FortiGuard uređaja izloženih internetu. Zlonamjerni akter pokušava da iskoristi sve privilegije koje pruža Fortinet uređaj, izdvaja akreditive na nalog Active Directory koji koristi uređaj, a zatim pokušava da se autentifikuje na drugim uređajima na mreži sa tim akreditivima.
Volt Typhoon zlonamjerni akter preusmjerava sav saobraća kroz proxy servise do svojih ciljeva preko kompromitovanih SOHO uređaja. Sigurnosni istraživači su potvrdili da mnogi uređaji, između ostalog proizvodi kompanija ASUS, Cisco, D-Link, NETGEAR i Zyxel, omogućavaju vlasnicima da izlože internetu HTTP ili SSH interfejse za upravljanje. Korištenjem proxy servisa preko ovih uređaja, Volt Typhoon poboljšava prikrivenost svojih operacija i smanjuje troškove za nabavku i održavanje svoje infrastrukture. Pored toga sigurnosni istraživači su skrenuli pažnju i na iskorištavanje PRTG Network Monitor, ManageEngine ADSelfService Plus, FatePipe WARP i Ivanti Connect Secure VPN servisa.
ZAKLJUČAK
Na osnovu aktivnosti zlonamjernih aktera i njihovih raznih operacija, organizacije koje mogu biti meta sajber napada koje sponzoriše država, moraju zauzeti robustan, slojevit odbrambeni stav. Jednostavni mehanizmi i kontrole neće biti dovoljni u okruženju u kojem protivnici redovno i uspješno iskorištavaju legitimne sistemske funkcije u zlonamjerne svrhe.
Antivirusna riješenja su možda bila dovoljna u prošlosti za otkrivanje većine infekcija, ali kako se zlonamjerni akteri sve više kreću ka zloupotrebi legitimnih sistemskih funkcija i administrativnih alata, potrebna je veća vidljivost i analiza aktivnosti kako bi se legitimna administrativna aktivnost razlikovala od mogućeg upada.
Iako se softveri za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) nisu puno proslavili prilikom otkrivanja ovih vrsta napada, suština je da je vidljivost koju oni omogućavaju jeste vidljivost koja je neophodna da bi se bar uhvatili signali i naznake povezane sa procesom upada u sistem. Kroz sve veći naglasak na vidljivosti radnji u mreži i sistemskom okruženju uz povezanost zapažanja unutar njih, bezbjednosni timovi mogu identifikovati slučajeve u kojima zlonamjerni akteri žele da im nanesu štetu.
Kako zlonamjerni akteri prelaze sa posebno prilagođenog zlonamjernog softvera na korištenje uobičajenih alata i administrativnih tehnika u zlonamjerne svrhe, posao bezbjednosnih timova će biti sve teži, ali uz adekvatnu vidljivost kompletnog mrežnog i sistemskog okruženja i njegovo razumijevanje, to neće biti nemoguće.
ZAŠTITA
Agencija za sajber bezbjednost i infrastrukturu (CISA), Federalni istražni biro (FBI) i Agencija za nacionalnu bezbjednost (NSA) objavili smjernice koje su zasnovane na prethodno objavljenim proizvodima, procjenama crvenog tima ili zapažanjima iz aktivnosti reagovanja na incidente u kritičnim infrastrukturnim organizacijama, uključujući one koje je kompromitovala sajber grupa poznata kao Volt Typhoon. CISA i njeni partneri izrazito preporučuju organizacije kritične infrastrukture i proizvođače tehnologije da pročitaju zajedničke savjete i smjernice za odbranu od ove prijetnje. Smjernice se mogu preuzeti ovdje.
