{"id":6182,"date":"2024-02-19T20:26:29","date_gmt":"2024-02-19T19:26:29","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6182"},"modified":"2024-02-19T20:26:29","modified_gmt":"2024-02-19T19:26:29","slug":"volt-typhoon-u-kriticnim-sistemima","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/","title":{"rendered":"Volt Typhoon u kriti\u010dnim sistemima"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Volt Typhoon<\/em> u kriti\u010dnim sistemima, stiglo je <a href=\"https:\/\/www.cisa.gov\/resources-tools\/resources\/identifying-and-mitigating-living-land-techniques\" target=\"_blank\" rel=\"noopener\">upozorenje ameri\u010dke vlade<\/a> koje se nadovezuje <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/05\/24\/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques\/\" target=\"_blank\" rel=\"noopener\">na otkri\u0107e kompanije Microsoft<\/a> od 23. maja 2023. godine. Upozorenje se nagla\u0161ava na opasnost od hakerske grupe <em>Volt Typhoon <\/em>koju podr\u017eava Kina, a koja nastavlja da se probiju u IT mre\u017ee organizacija za komunikacije, energetiku, transport, vodosnabdijevanje i upravljanje otpadnim vodama.<\/span><\/p>\n<div id=\"attachment_6183\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6183\" class=\"size-full wp-image-6183\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon.jpg\" alt=\"Volt Typhoon\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/02\/Volt-Typhoon-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6183\" class=\"wp-caption-text\"><em>Volt Typhoon u kriti\u010dnim sistemima; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/#VOLT_TYPHOON\">VOLT TYPHOON<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/#STAPANJE_SA_OKOLINOM\">STAPANJE SA OKOLINOM<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/#DOBIJANJE_PRISTUPA\">DOBIJANJE PRISTUPA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/19\/volt-typhoon-u-kriticnim-sistemima\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<p><span style=\"font-size: 14pt;\">Zajedni\u010dke smjernice su izdale Agencija za sajber bezbjednost i infrastrukturu (<em>CISA<\/em>), Federalni istra\u017eni biro (<em>FBI<\/em>) i Agencija za nacionalnu bezbjednost (<em>NSA<\/em>) priznaju\u0107i realnost da je Kina ve\u0107 ugrozila kriti\u010dne sisteme. Do kompromisa sistema je do\u0161lo kroz produ\u017eeni pristup, stvaranjem upori\u0161ta u kriti\u010dnim infrastrukturnim ciljevima ve\u0107 godinama koriste\u0107i legitimne alate ili tehniku \u201c<em>stapanje sa okolinom<\/em>\u201d (eng. <em>Living off the Land \u2013 LotL<\/em>).<\/span><\/p>\n<blockquote><p>&nbsp;<\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u201cPodaci i informacije koje su prikupili CISA i njeni partneri iz ameri\u010dke vlade sna\u017eno ukazuju na to da se NR Kina pozicionira za pokretanje destruktivnih sajber napada koji bi ugrozili fizi\u010dku sigurnost amerikanaca i ometali vojnu spremnost u slu\u010daju velike krize ili sukoba sa Sjedinjenim Ameri\u010dkim Dr\u017eavama.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/www.cisa.gov\/news-events\/news\/us-and-international-partners-publish-cybersecurity-advisory-peoples-republic-china-state-sponsored\" target=\"_blank\" rel=\"noopener\"><em>Cybersecurity and Infrastructure Security Agency (CISA)<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"VOLT_TYPHOON\"><\/span><span style=\"font-size: 14pt;\"><strong><em>VOLT TYPHOON<\/em><\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Volt Typhoon<\/em> je <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a> kojeg podr\u017eava Kina i koji je jo\u0161 poznat pod nazivima <em>Vanguard Panda<\/em>, <em>Brronze<\/em> <em>Silhouette<\/em>, <em>Dev<\/em>&#8211;<em>0391<\/em>, <em>UNC3236<\/em>, <em>Voltzite<\/em> i <em>Insidious<\/em> <em>Taurus <\/em>a obi\u010dno se fokusira na \u0161pijuna\u017eu i prikupljanje informacija. Istra\u017eivanja kompanije <em>Microsoft<\/em> sa odre\u0111enom dozom uvjerenja pokazuju da <em>Volt<\/em> <em>Typhoon<\/em> zlonamjerni akter te\u017ei razvoju sposobnosti koje bi mogle da poremete kriti\u010dnu komunikacionu infrastrukturu izme\u0111u regiona Sjedinjenih Ameri\u010dkih Dr\u017eava i Azije tokom budu\u0107ih kriza.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akter funkcioni\u0161e tako \u0161to iskori\u0161tava ranjivosti u malim ruterima i ruterima na kraju \u017eivotnog vijeka, za\u0161titnim zidovima (eng. <em>firewalls<\/em>) i <a href=\"https:\/\/sajberinfo.com\/en\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virtuelnim privatnim mre\u017eama (<em>VPN<\/em>)<\/a>, \u010desto koriste\u0107i administratorske akreditive i ukradene <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a>, ili koriste\u0107i prednosti zastarele tehnologije koja nije imala redovna bezbjednosna a\u017euriranja \u2013 klju\u010dne slabosti identifikovane u digitalnoj infrastrukturi SAD.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong><em>\u00a0<\/em><\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"STAPANJE_SA_OKOLINOM\"><\/span><span style=\"font-size: 14pt;\"><strong>STAPANJE SA OKOLINOM<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenjem tehnike stapanja sa okolinom omogu\u0107ava zlonamjernim akterima da se stapaju sa normalnim sistemskim i mre\u017enim aktivnostima, izbjegavaju identifikaciju od strane mre\u017ene odbrane i ograni\u010davaju koli\u010dinu aktivnosti koja je uhva\u0107ena u uobi\u010dajenim konfiguracijama evidentiranja. Zbog toga, otkrivanje i ubla\u017eavanje ove vrste zlonamjerne sajber aktivnosti zahteva vi\u0161estruki i sveobuhvatan pristup da se napravi razlika izme\u0111u legitimnog i zlonamjernog pona\u0161anja uz sprovo\u0111enje analize pona\u0161anja, otkrivanje anomalija i proaktivno tra\u017eenje. Najve\u0107a korist od tehnike stapanja sa okolinom je u tome \u0161to zlonamjerni softver koristi samo postojec\u0301e resurse u operativnom sistemu onoga na \u0161ta cilja, umjesto da uvodi novu datoteku koja bi mogla dovesti do otkrivanja prisustva.<br \/>\n<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><strong><em>\u00a0<\/em><\/strong><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>&#8220;Dana\u0161nji zajedni\u010dki savjeti i vodi\u010d su rezultat efikasne, uporne operativne saradnje sa na\u0161om industrijom, saveznim i me\u0111unarodnim partnerima i odra\u017eavaju na\u0161u stalnu posve\u0107enost pru\u017eanju pravovremenih, djelotvornih smjernica za sve na\u0161e zainteresovane strane. Mi smo u kriti\u010dnom trenutku za na\u0161u nacionalnu bezbjednost. Sna\u017eno ohrabrujemo sve organizacije za kriti\u010dnu infrastrukturu da pregledaju i sprovedu savjetovane radnje i prijave CISA ili FBI bilo kakvu sumnju na Volt Typhoon ili aktivnosti stapanja sa okolinom.&#8221;<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Jen Easterly, CISA Director &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p><span style=\"font-size: 14pt;\"><strong><em>\u00a0<\/em><\/strong><\/span><\/p>\n<h2><span class=\"ez-toc-section\" id=\"DOBIJANJE_PRISTUPA\"><\/span><span style=\"font-size: 14pt;\"><strong>DOBIJANJE PRISTUPA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Volt Typhoon<\/em> zlonamjerni akter obi\u010dno dobija po\u010detni pristup ciljnim organizacijama <a href=\"https:\/\/sajberinfo.com\/en\/2024\/02\/11\/nova-fortinet-ssl-vpn-ranjivost\/\" target=\"_blank\" rel=\"nofollow noopener\">preko<em> Fortinet FortiGuard<\/em> ure\u0111aja izlo\u017eenih internetu<\/a>. Zlonamjerni akter poku\u0161ava da\u00a0 iskoristi sve privilegije koje pru\u017ea <em>Fortinet<\/em> ure\u0111aj, izdvaja akreditive na nalog <em>Active Directory<\/em> koji koristi ure\u0111aj, a zatim poku\u0161ava da se autentifikuje na drugim ure\u0111ajima na mre\u017ei sa tim akreditivima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Volt Typhoon<\/em> zlonamjerni akter preusmjerava sav saobra\u0107a kroz <em>proxy<\/em> servise do svojih ciljeva preko kompromitovanih <em>SOHO<\/em> ure\u0111aja. Sigurnosni istra\u017eiva\u010di su potvrdili da mnogi ure\u0111aji, izme\u0111u ostalog proizvodi kompanija <em>ASUS<\/em>, <em>Cisco<\/em>, <em>D-Link<\/em>, <em>NETGEAR<\/em> i <em>Zyxel<\/em>, omogu\u0107avaju vlasnicima da izlo\u017ee internetu <em>HTTP<\/em> ili <em>SSH<\/em> interfejse za upravljanje. Kori\u0161tenjem <em>proxy<\/em> servisa\u00a0 preko ovih ure\u0111aja, <em>Volt Typhoon<\/em> pobolj\u0161ava prikrivenost svojih operacija i smanjuje tro\u0161kove za nabavku i odr\u017eavanje svoje infrastrukture. Pored toga sigurnosni istra\u017eiva\u010di su skrenuli pa\u017enju i na iskori\u0161tavanje <em>PRTG Network Monitor<\/em>, <em>ManageEngine ADSelfService Plus<\/em>, <em>FatePipe WARP<\/em> i <em>Ivanti Connect Secure VPN <\/em>servisa<em>.<\/em><\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><span style=\"font-size: 14pt;\"><strong>ZAKLJU\u010cAK<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Na osnovu aktivnosti zlonamjernih aktera i njihovih raznih operacija, organizacije koje mogu biti meta sajber napada koje sponzori\u0161e dr\u017eava, moraju zauzeti robustan, slojevit odbrambeni stav. Jednostavni mehanizmi i kontrole ne\u0107e biti dovoljni u okru\u017eenju u kojem protivnici redovno i uspje\u0161no iskori\u0161tavaju legitimne sistemske funkcije u zlonamjerne svrhe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">Antivirusna rije\u0161enja<\/a> su mo\u017eda bila dovoljna u pro\u0161losti za otkrivanje ve\u0107ine infekcija, ali kako se zlonamjerni akteri sve vi\u0161e kre\u0107u ka zloupotrebi legitimnih sistemskih funkcija i administrativnih alata, potrebna je ve\u0107a vidljivost i analiza aktivnosti kako bi se legitimna administrativna aktivnost razlikovala od mogu\u0107eg upada.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Iako se softveri za detekciju i odgovor na prijetnje (eng. <em>Endpoint detection and response \u2013 EDR<\/em>) nisu puno proslavili prilikom otkrivanja ovih vrsta napada, su\u0161tina je da je vidljivost koju oni omogu\u0107avaju jeste vidljivost koja je neophodna da bi se bar uhvatili signali i naznake povezane sa procesom upada u sistem. Kroz sve ve\u0107i naglasak na vidljivosti radnji u mre\u017ei i sistemskom okru\u017eenju uz povezanost zapa\u017eanja unutar njih, bezbjednosni timovi mogu identifikovati slu\u010dajeve u kojima zlonamjerni akteri \u017eele da im nanesu \u0161tetu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako zlonamjerni akteri prelaze sa posebno prilago\u0111enog zlonamjernog softvera na kori\u0161tenje uobi\u010dajenih alata i administrativnih tehnika u zlonamjerne svrhe, posao bezbjednosnih timova \u0107e biti sve te\u017ei, ali uz adekvatnu vidljivost kompletnog mre\u017enog i sistemskog okru\u017eenja i njegovo razumijevanje, to ne\u0107e biti nemoguc\u0301e.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><span style=\"font-size: 14pt;\"><strong>ZA\u0160TITA<\/strong><\/span><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Agencija za sajber bezbjednost i infrastrukturu (<em>CISA<\/em>), Federalni istra\u017eni biro (<em>FBI<\/em>) i Agencija za nacionalnu bezbjednost (<em>NSA<\/em>) objavili smjernice koje su zasnovane na prethodno objavljenim proizvodima, procjenama crvenog tima ili zapa\u017eanjima iz aktivnosti reagovanja na incidente u kriti\u010dnim infrastrukturnim organizacijama, uklju\u010duju\u0107i one koje je kompromitovala sajber grupa\u00a0 poznata kao <em>Volt Typhoon<\/em>. <em>CISA<\/em> i njeni partneri izrazito preporu\u010duju organizacije kriti\u010dne infrastrukture i proizvo\u0111a\u010de tehnologije da pro\u010ditaju zajedni\u010dke savjete i smjernice za odbranu od ove prijetnje. Smjernice se mogu preuzeti <a href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/2024-02\/Joint-Guidance-Identifying-and-Mitigating-LOTL_V3508c.pdf\" target=\"_blank\" rel=\"noopener\">ovdje<\/a>.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Volt Typhoon u kriti\u010dnim sistemima, stiglo je upozorenje ameri\u010dke vlade koje se nadovezuje na otkri\u0107e kompanije Microsoft od 23. maja 2023. godine. Upozorenje se nagla\u0161ava na opasnost od hakerske grupe Volt Typhoon koju podr\u017eava&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6183,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[528,794,379,352,384,795,235,639,799,800,285,798,791,792,130,258,405,796,793,790,797,78,385],"class_list":["post-6182","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-asus","tag-brronze-silhouette","tag-cisa","tag-cisco","tag-d-link","tag-dev-0391","tag-edr","tag-fbi","tag-firewalls","tag-fortiguard","tag-fortinet","tag-insidious-taurus","tag-living-off-the-land","tag-lotl","tag-microsoft","tag-netgear","tag-nsa","tag-unc3236","tag-vanguard-panda","tag-volt-typhoon","tag-voltzite","tag-vpn","tag-zyxel"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6182","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6182"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6182\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6183"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6182"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6182"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6182"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}