Volt Typhoon: Как китайские хакеры атакуют критическую инфраструктуру

Разбор инцидента с хакерской группой Volt Typhoon

В мае 2023 года индустрия кибербезопасности столкнулась с новой угрозой, связанной с деятельностью хакерской группы Volt Typhoon. Эта группа, связанная с Китайской Народной Республикой, оказалась причастной к широкомасштабной атаке на критическую инфраструктуру в США. В данной статье мы рассмотрим ключевые аспекты инцидента, методы работы злоумышленников и меры по защите от подобных атак.

Что известно о Volt Typhoon?

Volt Typhoon — это группировка, которая, по данным специалистов Microsoft и других исследовательских групп, действует с 2021 года. Основной целью группы являются организации, связанные с телекоммуникациями, транспортом, энергосистемами и другими отраслями критической инфраструктуры. Отличительной чертой Volt Typhoon является их ориентация на кибершпионаж, а не на разрушительные действия.

Исследования показали, что Volt Typhoon используют крайне осторожный подход к выполнению своих операций. Они избегают стандартных вредоносных программ, предпочитая методы, которые усложняют их обнаружение, такие как использование легитимных инструментов и протоколов.

Хронология атаки

В рамках инцидента Volt Typhoon использовали методы, известные как “living off the land” (LOTL), что означает использование встроенных инструментов операционной системы для выполнения вредоносных операций. В частности, злоумышленники активно использовали PowerShell, командную строку и протоколы удалённого администрирования, такие как WMI и RDP. Эти методы позволяют скрываться от традиционных систем обнаружения.

Основные этапы атаки:

Этап 1: Начальный доступ

Volt Typhoon получили доступ к целевым сетям, используя уязвимости в периферийных устройствах, таких как маршрутизаторы, VPN-шлюзы и сетевые устройства. В частности, были выявлены следующие уязвимости:

1. CVE-2019-19781: Уязвимость в устройствах Citrix ADC и Gateway, которая позволяет выполнять произвольный код.
2. CVE-2020-3452: Уязвимость в веб-интерфейсе Cisco ASA и FTD, позволяющая удалённо читать файлы конфигурации.
3. CVE-2021-20016: Уязвимость в SonicWall SMA 100, предоставляющая возможность несанкционированного доступа к системе.
4. CVE-2022-26134: Уязвимость Atlassian Confluence, позволяющая удалённое выполнение кода.

Для атаки они применяли методы взлома через слабые пароли, устаревшее программное обеспечение или незащищённые интерфейсы управления. Часто хакеры использовали публично доступные инструменты, такие как Shodan, для сканирования и обнаружения потенциально уязвимых устройств.

Этап 2: Укрепление присутствия

После проникновения злоумышленники активно использовали встроенные инструменты операционных систем, чтобы оставаться незамеченными. Они устанавливали соединения с удалёнными системами через PowerShell и WMI, создавали скрытые учётные записи и маскировали свои действия под легитимную активность. В некоторых случаях они использовали протоколы RDP для доступа к критическим узлам сети, что дополнительно затрудняло их идентификацию.

Этап 3: Разведка внутри сети

На этом этапе хакеры сосредоточились на сборе данных о структуре сети, привилегированных учетных записях и критических узлах. Для этого они применяли такие инструменты, как netstat, ipconfig, и встроенные утилиты Windows. Одним из ключевых методов было использование легитимных учетных данных, которые позволяли получить доступ к конфиденциальной информации без вызова подозрений.

Этап 4: Эксплуатация и управление

Для управления атакой злоумышленники использовали инфраструктуру командных серверов, включая зашифрованные туннели через прокси и VPN. Это позволило им поддерживать устойчивое подключение к атакуемым системам и координировать свои действия. В ряде случаев хакеры настраивали системы для автоматической отправки собранных данных на удалённые серверы.

Этап 5: Экфильтрация данных

Финальной стадией атаки была передача собранной информации на внешние серверы. Для этого использовались методы шифрования трафика, такие как HTTPS, и инструменты для компрессии файлов, чтобы минимизировать объём передаваемых данных. Злоумышленники уделяли особое внимание тому, чтобы передача данных выглядела как стандартная активность в сети.

Особенности и сложность обнаружения

Главная проблема, связанная с деятельностью Volt Typhoon, заключается в их способности использовать стандартные системные процессы для маскировки своих действий. Это затрудняет обнаружение их присутствия с помощью традиционных антивирусных решений или систем мониторинга.

Volt Typhoon также использовали технику, называемую “оперативной тишиной” (operational silence), когда их активность минимизировалась до небольших окон времени. Это помогало избежать подозрений и затрудняло создание полной картины их активности.

Кроме того, группа активно использовала методику “гибридного командования”, при которой часть операций выполнялась вручную, что позволяло обходить автоматизированные системы детектирования.

Рекомендации по защите

Для защиты от подобных угроз необходимо применять комплексный подход:

1. Мониторинг активности: Использование систем анализа поведения (UEBA), которые могут обнаружить аномалии в действиях пользователей и процессов. Особое внимание следует уделить действиям, связанным с использованием административных привилегий.
2. Сегментация сети: Разделение сети на зоны с ограничением доступа между ними. Это поможет изолировать потенциально заражённые сегменты и предотвратить дальнейшее распространение угрозы.
3. Обновление оборудования и ПО: Регулярное обновление прошивок сетевых устройств и программного обеспечения для устранения известных уязвимостей. Кроме того, важно проводить регулярные аудиты конфигураций.
4. Обучение сотрудников: Повышение осведомлённости работников о фишинговых атаках и методах социальной инженерии. Разработка практических тренингов может существенно повысить уровень защиты.
5. Многофакторная аутентификация (MFA): Усложнение доступа злоумышленникам через использование дополнительных факторов аутентификации. Также рекомендуется использовать аппаратные токены для критически важных систем.
6. Инструменты EDR и XDR: Современные решения для обнаружения и реагирования на инциденты в режиме реального времени. Они позволяют не только обнаруживать угрозы, но и автоматически устранять их последствия.
7. Регулярное тестирование защиты: Проведение симуляций атак (Red Team/Blue Team) для проверки готовности систем и персонала.

🔐 Хотите научиться выявлять и предотвращать сложные кибератаки, подобные действиям Volt Typhoon?

Записывайтесь на курс «Анализ защищенности инфраструктуры на основе технологий Active Directory»!

📅 Старт: 29 мая
⏳ Длительность: 4 месяца + экзамен

Что вас ждёт?

• Изучение современных техник и методик атак на инфраструктуру Active Directory.
• Практика в реалистичной лабораторной среде с 30+ виртуальными машинами и 100+ рабочими тасками.
• Разбор реальных кейсов, включая аналоги атак Volt Typhoon.

Не упустите шанс стать экспертом в защите корпоративных сетей! 

(Курс подходит для специалистов по кибербезопасности, SOC-аналитиков и системных администраторов.)

✔️ Записаться

По всем вопросам пишите @Codeby_Academy 🚀