Crédit : Dreamstime
Microsoft et quelques agences de renseignement américaines ont identifié un malware d’origine chinoise déployés dans des systèmes d’infrastructure critiques à Guam et ailleurs aux États-Unis.
L’activité nuisible, axée sur l’accès aux informations d’identification après compromission et la découverte de la sécurité du réseau, a en fait été connectée à Volt Hurricane, un État -sponsored hazard actor in China.
« Volt Typhoon est actif depuis la mi-2021 et a en fait ciblé des organisations d’infrastructure vitales à Guam et ailleurs aux États-Unis », a déclaré Microsoft dans un article de blog. « Dans ce projet, les organisations concernées couvrent les secteurs des interactions, de la fabrication, des services publics, des transports, du bâtiment et de la construction, maritime, gouvernemental, des technologies de l’information et de l’éducation. »
Guam abrite d’importantes configurations militaires des États-Unis, composées de la base de la force aérienne d’Andersen, qui joue un rôle vital en cas de différend potentiel dans la région Asie-Pacifique, y compris un déménagement contre Taïwan.
La tempête tropicale Volt utilise une infection furtive
Microsoft a reconnu des attaques telles qu’un « Web Shell », un script destructeur permettant l’accès à distance à un serveur, déployé dans des routeurs internes et d’autres gadgets du système informatique connecté à Internet pour rendre l’intrusion plus difficile à suivre.
Les problèmes de Volt Typhoon commandent via la ligne de commande d’un système infecté de collecter des données, y compris les informations d’identification des systèmes régionaux et réseau, en les archivant pour l’exfiltration en phase et utiliser les informations d’identification obtenues pour préserver la persévérance.
L’agresseur obtient une entrée préliminaire dans les organisations ciblées en exploitant les appareils Fortinet FortiGuard connectés à Internet. Microsoft est actuellement en train d’analyser comment Volt Hurricane gère l’accès à ces gadgets.
« La star du danger tente de profiter de tous les avantages offerts par le gadget Fortinet extrait les qualifications d’un compte de site Active Directory utilisé par le gadget, puis essaie de valider avec d’autres gadgets sur le réseau avec ces qualifications », a inclus Microsoft.
L’attaque dirige tout son trafic réseau vers ses cibles en utilisant des petits bureaux/ gadgets de périphérie du réseau de travail à domicile, tels que les routeurs. Microsoft a validé que divers gadgets, y compris ceux produits par Asus, Cisco, D-Link, Netgear et Zyxel, ont la capacité pour les propriétaires d’exposer des interfaces de gestion HTTP ou SSH sur le Web.
Dans leur message -opérations de compromis, Volt Typhoon utilise rarement des logiciels malveillants. Au lieu de cela, ils comptent beaucoup sur l’utilisation de commandes hors du terrain pour rechercher des détails dans le système, reconnaître d’autres gadgets liés au réseau et extraire des informations.
La rotation des informations d’identification et la MFA sont essentielles à la défense
Comme mesures d’atténuation, Microsoft a conseillé de fermer ou de modifier les informations d’identification de tous les comptes compromis. « Reconnaître le rejet du service de sous-système de l’autorité de sécurité locale (LSASS) et le développement de supports de configuration du contrôleur de domaine pour déterminer les comptes concernés », a-t-il ajouté.
L’analyse de l’activité des comptes compromis pour toute action malveillante ou information exposée a également été encouragée .
Pour réduire la menace de comptes authentiques compromis, Microsoft incite ses clients à mettre en œuvre des politiques d’authentification multifacteur (MFA) robustes qui utilisent des clés de sécurité matérielles ou Microsoft Authenticator. En outre, la connexion sans mot de passe, la définition de règles d’expiration du mot de passe et la fermeture des comptes inutilisés peuvent également être efficaces pour atténuer les dangers liés à cette méthode d’accès à.
Lumière de procédure de protection (PPL) pour LSASS , la protection des informations d’identification Windows Defender et l’EDR en mode horloge sont quelques services certifiés que Microsoft a en fait suggérés à ses utilisateurs pour se protéger contre de telles attaques.
Toute l’actualité en temps réel, est sur L’Entrepreneur
