Il 25 maggio 2023 Microsoft ha comunicato - in un articolo pubblicato nella sezione Security Blog e firmato dal Threat Intelligence – di avere scoperto una “attività dannosa, furtiva e mirata” nei confronti d’infrastrutture critiche degli Stati Uniti condotta dal gruppo Volt Typhoon, ritenuto un'emanazione dello Stato cinese, che solitamente svolge attività di spionaggio e raccolta d’informazioni. Secondo la multinazionale informatica, Volt Typhoon sta attuando attività che potrebbero “interrompere infrastrutture di comunicazione critiche tra gli Stati Uniti e la regione asiatica durante crisi future”.
Tra le infrastrutture che sarebbero state colpite dal gruppo cinese alcune riguardano i trasporti e il comparto marittimo. Quest’ultimo è stato vittima negli ultimi anni di diversi attacchi informatici da parte di criminali, con l’obiettivo di ottenere denaro. In questo caso, invece, Microsoft sottolinea che il gruppo cinese intende “mantenere l'accesso senza essere rilevato il più a lungo possibile”, con lo scopo di raccogliere informazioni, e potrebbe agire solo nel caso di crisi nella regione del Pacifico.
La società statunitense ha pubblicato questo avviso perché è “molto preoccupata” sull’impatto che potrebbe avere sui suoi clienti, aggiungendo che “sebbene la nostra visibilità data su queste minacce ci abbia fornito la possibilità d’informare nostri clienti, la mancanza di visibilità su altre attività di questo soggetto ci ha costretto a promuovere una più ampia consapevolezza della comunità e ulteriori indagini e protezioni in tutto l'ecosistema della sicurezza”.
Dal punto di vista tecnico, Volt Typhoon agisce in più fasi successive: raccoglie dati, comprese le credenziali per accedere a sistemi locali e di rete, li inserisce in un archivio digitale per prepararli all'esfiltrazione e usa le credenziali rubate per mantenere la sua presenza nei sistemi. Inoltre, “Volt Typhoon cerca di mimetizzarsi nella normale attività di rete instradando il traffico attraverso apparecchiature di rete Soho (Small Office and Home Office) compromesse, tra cui router, firewall e hardware Vpn. È stato osservato anche l'utilizzo di versioni personalizzate di strumenti open-source per stabilire un canale di comando e controllo (C2) tramite proxy, per non farsi notare”.
Microsoft avverte che “poiché questa attività si basa su account validi e binari living-off-the-land (LOLBin), il rilevamento e la mitigazione di questo attacco potrebbero essere difficili. Gli account compromessi devono essere chiusi o modificati”. Alla fine dell’articolo ci sono altri passaggi di mitigazione e best practice, oltre a dettagli su come Microsoft 365 Defender rileva le attività dannose e sospette per proteggere le organizzazioni da questi attacchi furtivi. La National Security Agency (Nsa) ha inoltre pubblicato un Cybersecurity Advisory, che contiene una guida alla caccia per le tattiche, le tecniche e le procedure discusse nell’articolo.
