Volt-Taifun „trifft“ Amerika
Laut Microsoft ist Volt Typhoon seit Mitte 2021 aktiv und hat kritische Infrastrukturorganisationen in Guam und anderswo in den Vereinigten Staaten ins Visier genommen. „In dieser Kampagne umfassen die betroffenen Organisationen die Bereiche Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung“, sagte Microsoft im Blog. Besorgniserregend ist, dass der Bedrohungsakteur laut Microsoft Spionage betreiben und sich Zugang verschaffen kann, ohne für eine Weile entdeckt zu werden.
Einer der Wege, auf denen sich Volt Typhoon Zugang verschafft, ist durch Fortinet FortiGuard Geräte. „Der Bedrohungsakteur versucht, alle vom Fortinet-Gerät gewährten Privilegien auszunutzen, extrahiert Anmeldeinformationen für ein vom Gerät verwendetes Active Directory-Konto und versucht dann, sich mit diesen Anmeldeinformationen bei anderen Geräten im Netzwerk zu authentifizieren“, erklärte Microsoft im Blog.
Das Unternehmen sagte, es untersuche, wie Hacker erhalten Zugriff auf Fortinet-Geräte. Microsoft hat außerdem bestätigt, dass viele der Geräte, darunter die von ASUS, Cisco, D-Link, NETGEAR und Zyxel, dem Besitzer ermöglichen, HTTP- oder SSH-Verwaltungsschnittstellen dem Internet zugänglich zu machen. „Durch die Proxy-Verteilung über diese Geräte verbessert Volt Typhoon die Tarnung seiner Abläufe und senkt die Gemeinkosten für die Anschaffung der Infrastruktur“, sagte Microsoft.
Microsoft hat auch Tipps für den Fall gegeben, dass ein Gerät kompromittiert wurde. Organisationen sollten die Anmeldeinformationen aller kompromittierten Konten schließen oder ändern, da je nach Grad der Erfassungsaktivität möglicherweise viele Konten betroffen sind. Darüber hinaus sollten Organisationen LSASS-Dumping und die Erstellung von Domänencontroller-Installationsmedien identifizieren, um betroffene Konten zu identifizieren.