Microsoft ostrzega przed prowadzoną w Chinach kampanią szpiegowską wycelowaną w Tajwan

Firma Microsoft odkryła kampanię cyberszpiegowską wymierzoną w organizacje na Tajwanie, przypisaną chińskiej grupie ugrupowań zagrażających o nazwie Flax Typhoon. Według firmy Flax Typhoon działa od 2021 r., atakując agencje rządowe i firmy z sektorów edukacji, produkcji, IT i innych.

Kampania wykorzystuje luki w zabezpieczeniach serwerów internetowych, aby uzyskać początkowy dostęp do docelowych sieci. Osoby atakujące wykorzystują exploity do wdrażania powłok internetowych, umożliwiających im zdalne wykonywanie poleceń w zaatakowanych systemach. Po wejściu do sieci Flax Typhoon wykorzystuje różne techniki w celu ustanowienia trwałego dostępu.

Kluczową metodą jest narażanie połączeń pulpitu zdalnego poprzez „wyłączenie uwierzytelniania na poziomie sieci i przejęcie funkcji Sticky Keys”. Dzięki temu atakujący mogą uzyskać zdalny dostęp do systemów nawet po ponownym uruchomieniu. Grupa instaluje również oprogramowanie VPN, aby utworzyć tunel do sieci w celu zapewnienia kontroli.

Flax Typhoon atakuje pamięć procesową usługi podsystemu urzędu zabezpieczeń lokalnych (LSASS) i gałąź rejestru menedżera kont zabezpieczeń (SAM). Obydwa sklepy zawierają zaszyfrowane hasła dla użytkowników zalogowanych do systemu lokalnego.

Flax Typhoon często wdraża Mimikatz, publicznie dostępne złośliwe oprogramowanie, które może automatycznie usunąć te sklepy, jeśli są niewłaściwie zabezpieczone. Powstałe skróty haseł można złamać w trybie offline lub wykorzystać w atakach typu pass-the-hash (PtH) w celu uzyskania dostępu do innych zasobów w zaatakowanej sieci.

Po ustaleniu trwałości Flax Typhoon skupia się na kradzieży danych uwierzytelniających. Grupa wylicza punkty przywracania systemu, które prawdopodobnie rozpoznają zaatakowaną sieć i usuwają ślady ich aktywności. Microsoft twierdzi jednak, że nie zaobserwował postępów osób atakujących w dążeniu do dalszych celów w zakresie eksfiltracji danych.

Firma Microsoft twierdzi, że bezpośrednio powiadomiła docelowych klientów i zapewniła możliwości wykrywania za pośrednictwem usługi Microsoft 365 Defender . Jednak obrona przed tym zagrożeniem jest trudna, ponieważ grupa w dużym stopniu opiera się na prawidłowych kontach i legalnych narzędziach.

Wiadomość ta pojawia się po zbadaniu przez rząd USA roli Microsoftu w wspieranym przez Chiny włamaniu do poczty elektronicznej . Amerykański panel doradczy ds. cyberbezpieczeństwa bada potencjalne zagrożenia związane z przetwarzaniem w chmurze, w tym rolę firmy Microsoft w naruszeniu.