Vitale Amerikaanse infrastructuur is het doelwit van een groep aanvallers die via Fortinet FortiGuard-apparaten toegang weet te krijgen, zo stellen Microsoft en de Amerikaanse overheid. Hoe de toegang wordt verkregen is op dit moment nog onbekend. Zodra de aanvallers toegang hebben compromitteren ze routers in het netwerk van de aangevallen organisaties om hun verkeer te verbergen. Onder andere routers van Asus, Cisco, D-Link, Netgear en Zyxel zijn bij de waargenomen aanvallen gecompromitteerd.
Volgens Microsoft, die de groep Volt Typhoon noemt, gaat het om een statelijke actor die vanuit China opereert. Het techbedrijf geeft echter geen verdere details om dit te onderbouwen. De groep zou sinds halverwege 2021 vitale infrastructuurorganisaties op het eiland Guam en andere plekken in de Verenigde Staten hebben aangevallen. Mogelijk heeft de campagne als doel om tijdens toekomstige crises in de Aziatische regio vitale communicatie-infrastructuur te verstoren, stelt Microsoft. Het techbedrijf staat echter met "moderate confidence" achter dit motief.
Zodra de aanvallers toegang hebben gekregen maken ze gebruik van "living off the land" technieken om onopgemerkt te blijven. Aanvallers maken dan geen gebruik van malware, maar bestaande functionaliteit van het besturingssysteem die vaak wordt gebruikt voor beheer en onderhoud. Naast Microsoft kwamen ook de FBI, NSA, het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de Cyber Security Centres van Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk met een gezamenlijke advisory over de aanvallen.
In die advisory staat vooral het gebruik van living off the land-technieken centraal en worden indicators of compromise (IoC's) gegeven waarmee organisatie kunnen controleren of ze ook zijn gecompromitteerd. De overheidsdiensten stellen dat de spionagegroep de gebruikte technieken ook tegen andere sectoren wereldwijd kan inzetten. Verder bevat de advisory advies om aanvallen te voorkomen, zoals het hardenen van domain controllers, monitoren van event logs en het onderzoek van ongeautoriseerde firewall-aanpassingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.