Microsoft afferma che un attore cinese sponsorizzato dallo stato prende di mira le infrastrutture critiche negli Stati Uniti

Microsoft ha annunciato che Volt Typhoon, un attore sponsorizzato dallo stato cinese, sta prendendo di mira le organizzazioni di infrastrutture critiche negli Stati Uniti. La società ha affermato che Volt Typhoon sta sviluppando capacità per interrompere le infrastrutture di comunicazione critiche tra gli Stati Uniti e l’Asia, una capacità che potrebbe tornare utile durante una crisi che coinvolge la Cina.

La campagna dannosa è in corso dalla metà del 2021 e prende di mira organizzazioni a Guam e nel resto degli Stati Uniti. Le aziende interessate abbracciano più settori tra cui comunicazioni, produzione, servizi di pubblica utilità, trasporti, edilizia, marittimo, governo, tecnologia dell’informazione e istruzione.

Microsoft Defender Antivirus e Microsoft Defender per endpoint faranno sapere agli utenti se sono stati compromessi da Volt Typhoon. In Microsoft Defender Antivirus, quanto segue è correlato a Volt Typhoon:

• Comportamento:Win32/SuspNtdsUtilUsage.A
• Comportamento:Win32/SuspPowershellExec.E
• Comportamento:Win32/SuspRemoteCmdCommandParent.A
• Comportamento: Operazione Win32/UNCFilePath
• Comportamento:Win32/VSSAmsiCaller.A
• Comportamento:Win32/WinrsCommand.A
• Comportamento:Win32/WmiSuspProcExec.J!se
• Comportamento:Win32/WmicRemote.A
• Comportamento:Win32/WmiprvseRemoteProc.B

Se usi Microsoft Defender per endpoint, verrà visualizzato il seguente avviso:

• Rilevato attore della minaccia Volt Typhoon

Volt Typhoon può anche causare i seguenti messaggi su Microsoft Defender per endpoint, ma non è necessariamente la causa:

• Una macchina è stata configurata per inoltrare il traffico a un indirizzo non locale
• Ntdsutil che raccoglie informazioni su Active Directory
• Hash delle password scaricati dalla memoria LSASS
• Uso sospetto di wmic.exe per eseguire codice
• Kit di strumenti per l’impacco

Se sei stato colpito da Volt Typhoon, dovresti chiudere o modificare le credenziali per tutti gli account compromessi. Si consiglia inoltre agli utenti di esaminare l’attività degli account compromessi per vedere cosa potrebbero aver fatto gli hacker.

Se non disponi delle misure di sicurezza appropriate, potresti non sapere mai che gli hacker sono mai stati nel tuo sistema. Microsoft ha affermato che la campagna viene condotta di nascosto, anche integrandosi nella normale attività di rete instradando il traffico attraverso apparecchiature di rete come router, firewall e hardware VPN.

Microsoft ha ampiamente dettagliato l’attività di Volt Typhoon. Se sei interessato ad approfondire i dettagli più tecnici, assicurati di leggere il post sul blog di Microsoft.