Добро пожаловать обратно, начинающие кибервоины!
В кибервойне промышленные системы SCADA и ICS могут быть как целью, так и оружием!
Хотя продолжающаяся напряжённость между США и Китаем часто представляется как торговая война, китайские государственные структуры известны тем, что идут на компромиссы и сохраняют постоянный доступ к критически важной инфраструктуре США — иногда в течение многих лет. В этой статье я расскажу, как одной из самых известных современных постоянных угроз (APT), Volt Typhoon , удалось проникнуть в инфраструктуру США.
Для начала давайте разберёмся, как Volt Typhoon начинает свою деятельность. В отличие от менее изощрённых злоумышленников, Volt Typhoon проводит тщательную разведку, прежде чем попытаться эксплуатировать уязвимость. Они тщательно изучают целевые организации, изучая архитектуру сетей, меры безопасности, типичное поведение пользователей и ключевых ИТ-специалистов.
По данным CISA, АНБ и ФБР, Volt Typhoon использует такие инструменты, как FOFA, Shodan и Censys, для выявления уязвимой инфраструктуры. Были замечены даже атаки на личные учётные записи электронной почты ключевых сетевых и IT-специалистов после взлома. Этот сбор данных повышает операционную безопасность — в некоторых случаях они избегают использования скомпрометированных учётных данных вне рабочего времени, чтобы предотвратить срабатывание оповещений безопасности.
Определив цель, Volt Typhoon использует уязвимости в общедоступных сетевых устройствах для получения первоначального доступа. Они обычно атакуют устройства таких производителей, как Fortinet, Ivanti Connect Secure (ранее Pulse Secure), NETGEAR, Citrix и Cisco (подробнее о самых серьёзных уязвимостях, обнаруженных в самых распространённых VPN-сервисах 2024 года, можно узнать по ссылке ).
Их первоначальная стратегия доступа фокусируется на периметральных устройствах, что дает несколько стратегических преимуществ:
Volt Typhoon тщательно отслеживает случаи раскрытия уязвимостей для этих устройств и продемонстрировал способность превращать новые уязвимости в оружие в течение нескольких дней после их публичного раскрытия.
Они отдают приоритет следующим типам уязвимостей:
В одной из подтверждённых атак Volt Typhoon, вероятно, получил первоначальный доступ, эксплуатируя уязвимость CVE-2022-42475 в неисправленном межсетевом экране FortiGate 300D. В журналах сбоев SSL-VPN были обнаружены признаки атаки с переполнением буфера. Эта уязвимость в FortiOS SSL-VPN позволяла неаутентифицированным злоумышленникам выполнять произвольный код с помощью специально созданных запросов.
Анализ других случаев взлома Volt Typhoon выявил эксплуатацию:
Типичная активность тайфуна Вольт, проиллюстрированная CISA
Закрепившись, Volt Typhoon сосредотачивается на получении учётных данных администратора. Они часто эксплуатируют уязвимости операционной системы или сетевых служб, позволяющие повысить привилегии. В некоторых случаях им удавалось получить учётные данные, которые были неправильно сохранены на сетевых устройствах.
Например, при эксплуатации уязвимости FortiGate злоумышленники скомпрометировали учётную запись администратора домена, хранящуюся на устройстве. Это подчёркивает опасность хранения привилегированных учётных данных на периферийных устройствах.
Имея действительные учётные данные администратора, Volt Typhoon перемещается по сети, в основном используя протокол удалённого рабочего стола (RDP). Конечной целью обычно является контроллер домена, что даёт ему контроль над всей средой Active Directory.
В одном из подтверждённых случаев компрометации организации сектора водоснабжения и водоотведения после получения первоначального доступа Volt Typhoon подключился к сети через VPN с учётными данными администратора и открыл сеанс RDP для горизонтального перемещения. В течение девяти месяцев злоумышленники переместились на файловый сервер, контроллер домена, сервер управления Oracle и сервер VMware vCenter.
Volt Typhoon особенно искусно использует методы «выживая за счёт земли» (LOTL), используя легитимные системные инструменты и процессы, уже имеющиеся в системе, вместо внедрения вредоносного ПО. Этот сложный подход позволяет им встраиваться в обычные системные процессы и поддерживать постоянный доступ, не вызывая при этом традиционных оповещений безопасности.
Для обнаружения они используют собственные команды и утилиты Windows, в том числе:
• cmd
• certutil
• dnscmd
• ldifde
• makecab
• net user/group/use
• netsh
• nltest
В одном из инцидентов анализ истории консоли PowerShell на контроллере домена показал, что Volt Typhoon извлек журналы событий безопасности с помощью команды:
Get-EventLog security -instanceid 4624 -after [год-месяц-дата] | fl * | Out-File 'C:\users\public\documents\user.dat'
Это указывает на особый интерес группы к регистрации событий успешного входа в систему (идентификатор события 4624) для анализа закономерностей аутентификации пользователей в сети. Наличие этих действий свидетельствует о методичном подходе злоумышленников Volt Typhoon — не только к сбору конфиденциальных данных журналов, но и к потенциальному удалению следов, чтобы замести следы своего присутствия в скомпрометированной системе.
Главной жемчужиной Volt Typhoon является файл базы данных Active Directory (NTDS.dit), содержащий имена пользователей, хэши паролей и информацию о членстве в группах для всех учётных записей домена. Извлекая этот файл, можно добиться полной компрометации домена.
Архитектура Active Directory
Файл NTDS.dit обычно заблокирован во время работы Active Directory, что делает прямое копирование невозможным. Volt Typhoon решает эту проблему с помощью сложных методов, использующих встроенные функции Windows. Типичный подход начинается с создания снимка диска, на котором размещена база данных Active Directory, с помощью службы теневого копирования томов (VSS). Это создаёт копию всего тома на определенный момент времени, к которой можно получить доступ, пока исходные файлы продолжают использоваться. Для этого используются стандартные команды Windows, которые средства мониторинга считают легитимными, например, команда vssadmin create shadow /for=C: из командной строки с повышенными привилегиями на контроллере домена.
После создания теневой копии Volt Typhoon использует комбинацию команд инструментария управления Windows (WMI) для удалённого запуска ntdsutil, легитимного инструмента Microsoft для управления базами данных Active Directory. С помощью функции «ifm» (Install From Media) ntdsutil создаёт переносимую копию базы данных каталога, включающую всю информацию об учётных записях.
Наряду с файлом NTDS.dit Volt Typhoon также извлекает куст реестра SYSTEM из скомпрометированного контроллера домена. Этот куст реестра содержит ключ загрузки, необходимый для расшифровки хэшей паролей, хранящихся в файле NTDS.dit. Без этого ключа данные паролей останутся зашифрованными и непригодными для использования. Злоумышленники обычно размещают оба файла в незаметном месте, например, C:\Users\Public\Documents, или во временных папках, где их можно сохранить перед эксфильтрацией.
Изощренность Volt Typhoon очевидна в их методах эксфильтрации. Вместо того чтобы немедленно удалять эти файлы, что может привести к срабатыванию систем защиты от потери данных, они часто сжимают их, используя безобидные имена, и медленно извлекают в течение длительного времени. В некоторых случаях было замечено, что они разбивают файлы на более мелкие фрагменты, чтобы избежать обнаружения системами безопасности, отслеживающими передачу больших объёмов исходящих файлов.
Спецслужбы задокументировали необычайную настойчивость Volt Typhoon в многократном извлечении NTDS.dit у одних и тех же жертв. В одном особенно тревожном случае они методично извлекали базу данных Active Directory из трёх отдельных контроллеров домена в одной организации в течение четырёх лет. Это многократное извлечение служит нескольким целям: оно предоставляет актуальную информацию о паролях при смене учётных данных пользователями, раскрывает новые учётные записи, добавленные в домен, и поддерживает постоянный доступ даже в то время, когда службы безопасности пытаются устранить уязвимость.
Другой задокументированный инцидент показал, что Volt Typhoon дважды в течение девяти месяцев извлекал файл NTDS.dit у поставщика критически важной инфраструктуры. Специалисты по безопасности считают, что регулярный сбор учётных данных свидетельствует о долгосрочной стратегической заинтересованности в сохранении доступа, а не о типичной операции по захвату. Эта тенденция согласуется с оценками разведки, согласно которым целью Volt Typhoon является постоянное присутствие в критически важной инфраструктуре для потенциальных будущих операций.
После успешного извлечения этих файлов Volt Typhoon приступает к использованию методов офлайн-взлома паролей.
Особую обеспокоенность Volt Typhoon вызывает их стремление получить доступ к операционным технологическим ресурсам (OT). Это системы, которые напрямую управляют физическими процессами в критически важной инфраструктуре.
Было замечено, что Volt Typhoon тестирует доступ к подключенным к домену ресурсам ОТ, используя учётные данные поставщика по умолчанию. В некоторых случаях злоумышленники получали доступ к системам ОТ, учётные данные которых были скомпрометированы путём кражи NTDS.dit.
В одном из подтверждённых случаев компрометации перемещение Volt Typhoon на сервер vCenter, вероятно, было стратегическим для предварительного размещения на объектах ОТ. Сервер vCenter находился рядом с объектами ОТ, и было замечено, что они взаимодействовали с приложением PuTTY, перечисляя существующие сохранённые сеансы. Это потенциально давало им доступ к профилям PuTTY для водоочистных сооружений, скважин, электрической подстанции и других критически важных систем.
Американские агентства, разрабатывающие Volt Typhoon, полагают, что он в первую очередь собирает информацию, необходимую для последующих действий с применением физического воздействия. В одной из подтверждённых атак они собрали конфиденциальную информацию с файлового сервера в нескольких архивах и, вероятно, передали её через SMB.
Собранная информация включала схемы и документацию, относящиеся к оборудованию ОТ, включая системы SCADA, реле и коммутационное оборудование. Эти данные имеют решающее значение для понимания критически важных инфраструктурных систем и потенциального влияния на них.
Получив доступ к легитимным учётным записям, Volt Typhoon проявляет минимальную активность в скомпрометированной среде, что говорит о том, что их цель — сохранение активности, а не немедленная эксплуатация. Это подтверждается наблюдаемыми закономерностями, когда они методично атакуют одни и те же организации в течение длительных периодов времени, часто охватывающих несколько лет.
Для управления и контроля Volt Typhoon использует скомпрометированные маршрутизаторы малого/домашнего офиса (SOHO) и виртуальные частные серверы (VPS) для проксирования своего трафика. Были замечены случаи использования SOHO-маршрутизаторов Cisco и NETGEAR, снятых с производства, с установленным вредоносным ПО KV Botnet.
Они также установили клиенты быстрого обратного прокси-сервера (FRP) в корпоративной инфраструктуре жертв для организации скрытых каналов связи. В одном случае Volt Typhoon внедрил клиент FRP с именем SMSvcService.exe на сервер контакт-центра Shortel Enterprise, а второй клиент FRP с именем Brightmetricagent.exe — на другой сервер.
При запуске через PowerShell эти клиенты открывают обратные прокси-серверы между скомпрометированной системой и командными серверами Volt Typhoon. Клиент FRP может обнаруживать серверы за сетевыми брандмауэрами или скрытыми с помощью преобразования сетевых адресов (NAT).
«Volt Typhoon» представляет серьёзную угрозу для критически важной инфраструктуры США. Их сложная тактика, методы и процедуры, в сочетании с акцентом на заблаговременное размещение для потенциальных разрушительных атак, делают их особенно опасным противником.
Американские агентства-разработчики обеспокоены тем, что эти субъекты могут использовать свой сетевой доступ для создания разрушительных эффектов в случае геополитической напряженности или военных конфликтов.
В кибервойне промышленные системы SCADA и ICS могут быть как целью, так и оружием!
Хотя продолжающаяся напряжённость между США и Китаем часто представляется как торговая война, китайские государственные структуры известны тем, что идут на компромиссы и сохраняют постоянный доступ к критически важной инфраструктуре США — иногда в течение многих лет. В этой статье я расскажу, как одной из самых известных современных постоянных угроз (APT), Volt Typhoon , удалось проникнуть в инфраструктуру США.
Шаг №1 : Обширная предварительная разведка
Для начала давайте разберёмся, как Volt Typhoon начинает свою деятельность. В отличие от менее изощрённых злоумышленников, Volt Typhoon проводит тщательную разведку, прежде чем попытаться эксплуатировать уязвимость. Они тщательно изучают целевые организации, изучая архитектуру сетей, меры безопасности, типичное поведение пользователей и ключевых ИТ-специалистов.
По данным CISA, АНБ и ФБР, Volt Typhoon использует такие инструменты, как FOFA, Shodan и Censys, для выявления уязвимой инфраструктуры. Были замечены даже атаки на личные учётные записи электронной почты ключевых сетевых и IT-специалистов после взлома. Этот сбор данных повышает операционную безопасность — в некоторых случаях они избегают использования скомпрометированных учётных данных вне рабочего времени, чтобы предотвратить срабатывание оповещений безопасности.
Шаг №2: Первоначальный доступ через уязвимые сетевые устройства
Определив цель, Volt Typhoon использует уязвимости в общедоступных сетевых устройствах для получения первоначального доступа. Они обычно атакуют устройства таких производителей, как Fortinet, Ivanti Connect Secure (ранее Pulse Secure), NETGEAR, Citrix и Cisco (подробнее о самых серьёзных уязвимостях, обнаруженных в самых распространённых VPN-сервисах 2024 года, можно узнать по ссылке ).
Их первоначальная стратегия доступа фокусируется на периметральных устройствах, что дает несколько стратегических преимуществ:
- VPN и шлюзы удаленного доступа : они обеспечивают аутентифицированный доступ во внутреннюю сеть.
- Пограничные маршрутизаторы и межсетевые экраны : Компрометация обеспечивает видимость и контроль потоков трафика.
- Балансировщики нагрузки и брандмауэры веб-приложений : они часто имеют повышенные привилегии в сетевой архитектуре.
Volt Typhoon тщательно отслеживает случаи раскрытия уязвимостей для этих устройств и продемонстрировал способность превращать новые уязвимости в оружие в течение нескольких дней после их публичного раскрытия.
Они отдают приоритет следующим типам уязвимостей:
- Обход аутентификации : обеспечивает прямой доступ без учетных данных.
- Удаленное выполнение кода : позволяет запускать произвольные команды на целевом устройстве.
- Уязвимости, связанные с повреждением памяти : часто допускают надежную эксплуатацию с минимальными журналами.
В одной из подтверждённых атак Volt Typhoon, вероятно, получил первоначальный доступ, эксплуатируя уязвимость CVE-2022-42475 в неисправленном межсетевом экране FortiGate 300D. В журналах сбоев SSL-VPN были обнаружены признаки атаки с переполнением буфера. Эта уязвимость в FortiOS SSL-VPN позволяла неаутентифицированным злоумышленникам выполнять произвольный код с помощью специально созданных запросов.
Анализ других случаев взлома Volt Typhoon выявил эксплуатацию:
- CVE-2022-27518 : Уязвимость удаленного выполнения кода в Citrix ADC и Gateway
- CVE-2020-5902 : уязвимость RCE в устройствах F5 BIG-IP
- CVE-2021-34473 : уязвимость Microsoft Exchange Server (ProxyShell)
- CVE-2022-26318 : Уязвимость в защищенных шлюзах Ivanti Connect
Типичная активность тайфуна Вольт, проиллюстрированная CISA
Шаг №3: Сбор учетных данных и повышение привилегий
Закрепившись, Volt Typhoon сосредотачивается на получении учётных данных администратора. Они часто эксплуатируют уязвимости операционной системы или сетевых служб, позволяющие повысить привилегии. В некоторых случаях им удавалось получить учётные данные, которые были неправильно сохранены на сетевых устройствах.
Например, при эксплуатации уязвимости FortiGate злоумышленники скомпрометировали учётную запись администратора домена, хранящуюся на устройстве. Это подчёркивает опасность хранения привилегированных учётных данных на периферийных устройствах.
Шаг №4: Боковое движение
Имея действительные учётные данные администратора, Volt Typhoon перемещается по сети, в основном используя протокол удалённого рабочего стола (RDP). Конечной целью обычно является контроллер домена, что даёт ему контроль над всей средой Active Directory.
В одном из подтверждённых случаев компрометации организации сектора водоснабжения и водоотведения после получения первоначального доступа Volt Typhoon подключился к сети через VPN с учётными данными администратора и открыл сеанс RDP для горизонтального перемещения. В течение девяти месяцев злоумышленники переместились на файловый сервер, контроллер домена, сервер управления Oracle и сервер VMware vCenter.
Шаг №5: Открытие с использованием методов жизни за счет природных ресурсов
Volt Typhoon особенно искусно использует методы «выживая за счёт земли» (LOTL), используя легитимные системные инструменты и процессы, уже имеющиеся в системе, вместо внедрения вредоносного ПО. Этот сложный подход позволяет им встраиваться в обычные системные процессы и поддерживать постоянный доступ, не вызывая при этом традиционных оповещений безопасности.
Для обнаружения они используют собственные команды и утилиты Windows, в том числе:
• cmd
• certutil
• dnscmd
• ldifde
• makecab
• net user/group/use
• netsh
• nltest
В одном из инцидентов анализ истории консоли PowerShell на контроллере домена показал, что Volt Typhoon извлек журналы событий безопасности с помощью команды:
Get-EventLog security -instanceid 4624 -after [год-месяц-дата] | fl * | Out-File 'C:\users\public\documents\user.dat'
Это указывает на особый интерес группы к регистрации событий успешного входа в систему (идентификатор события 4624) для анализа закономерностей аутентификации пользователей в сети. Наличие этих действий свидетельствует о методичном подходе злоумышленников Volt Typhoon — не только к сбору конфиденциальных данных журналов, но и к потенциальному удалению следов, чтобы замести следы своего присутствия в скомпрометированной системе.
Шаг №6: Полная компрометация домена путем извлечения NTDS.dit
Главной жемчужиной Volt Typhoon является файл базы данных Active Directory (NTDS.dit), содержащий имена пользователей, хэши паролей и информацию о членстве в группах для всех учётных записей домена. Извлекая этот файл, можно добиться полной компрометации домена.
Архитектура Active Directory
Файл NTDS.dit обычно заблокирован во время работы Active Directory, что делает прямое копирование невозможным. Volt Typhoon решает эту проблему с помощью сложных методов, использующих встроенные функции Windows. Типичный подход начинается с создания снимка диска, на котором размещена база данных Active Directory, с помощью службы теневого копирования томов (VSS). Это создаёт копию всего тома на определенный момент времени, к которой можно получить доступ, пока исходные файлы продолжают использоваться. Для этого используются стандартные команды Windows, которые средства мониторинга считают легитимными, например, команда vssadmin create shadow /for=C: из командной строки с повышенными привилегиями на контроллере домена.
После создания теневой копии Volt Typhoon использует комбинацию команд инструментария управления Windows (WMI) для удалённого запуска ntdsutil, легитимного инструмента Microsoft для управления базами данных Active Directory. С помощью функции «ifm» (Install From Media) ntdsutil создаёт переносимую копию базы данных каталога, включающую всю информацию об учётных записях.
Наряду с файлом NTDS.dit Volt Typhoon также извлекает куст реестра SYSTEM из скомпрометированного контроллера домена. Этот куст реестра содержит ключ загрузки, необходимый для расшифровки хэшей паролей, хранящихся в файле NTDS.dit. Без этого ключа данные паролей останутся зашифрованными и непригодными для использования. Злоумышленники обычно размещают оба файла в незаметном месте, например, C:\Users\Public\Documents, или во временных папках, где их можно сохранить перед эксфильтрацией.
Изощренность Volt Typhoon очевидна в их методах эксфильтрации. Вместо того чтобы немедленно удалять эти файлы, что может привести к срабатыванию систем защиты от потери данных, они часто сжимают их, используя безобидные имена, и медленно извлекают в течение длительного времени. В некоторых случаях было замечено, что они разбивают файлы на более мелкие фрагменты, чтобы избежать обнаружения системами безопасности, отслеживающими передачу больших объёмов исходящих файлов.
Спецслужбы задокументировали необычайную настойчивость Volt Typhoon в многократном извлечении NTDS.dit у одних и тех же жертв. В одном особенно тревожном случае они методично извлекали базу данных Active Directory из трёх отдельных контроллеров домена в одной организации в течение четырёх лет. Это многократное извлечение служит нескольким целям: оно предоставляет актуальную информацию о паролях при смене учётных данных пользователями, раскрывает новые учётные записи, добавленные в домен, и поддерживает постоянный доступ даже в то время, когда службы безопасности пытаются устранить уязвимость.
Другой задокументированный инцидент показал, что Volt Typhoon дважды в течение девяти месяцев извлекал файл NTDS.dit у поставщика критически важной инфраструктуры. Специалисты по безопасности считают, что регулярный сбор учётных данных свидетельствует о долгосрочной стратегической заинтересованности в сохранении доступа, а не о типичной операции по захвату. Эта тенденция согласуется с оценками разведки, согласно которым целью Volt Typhoon является постоянное присутствие в критически важной инфраструктуре для потенциальных будущих операций.
После успешного извлечения этих файлов Volt Typhoon приступает к использованию методов офлайн-взлома паролей.
Шаг №7: Нацеливание на операционные технологические активы
Особую обеспокоенность Volt Typhoon вызывает их стремление получить доступ к операционным технологическим ресурсам (OT). Это системы, которые напрямую управляют физическими процессами в критически важной инфраструктуре.
Было замечено, что Volt Typhoon тестирует доступ к подключенным к домену ресурсам ОТ, используя учётные данные поставщика по умолчанию. В некоторых случаях злоумышленники получали доступ к системам ОТ, учётные данные которых были скомпрометированы путём кражи NTDS.dit.
В одном из подтверждённых случаев компрометации перемещение Volt Typhoon на сервер vCenter, вероятно, было стратегическим для предварительного размещения на объектах ОТ. Сервер vCenter находился рядом с объектами ОТ, и было замечено, что они взаимодействовали с приложением PuTTY, перечисляя существующие сохранённые сеансы. Это потенциально давало им доступ к профилям PuTTY для водоочистных сооружений, скважин, электрической подстанции и других критически важных систем.
Шаг №8: Сбор документации ОТ и постоянный доступ
Американские агентства, разрабатывающие Volt Typhoon, полагают, что он в первую очередь собирает информацию, необходимую для последующих действий с применением физического воздействия. В одной из подтверждённых атак они собрали конфиденциальную информацию с файлового сервера в нескольких архивах и, вероятно, передали её через SMB.
Собранная информация включала схемы и документацию, относящиеся к оборудованию ОТ, включая системы SCADA, реле и коммутационное оборудование. Эти данные имеют решающее значение для понимания критически важных инфраструктурных систем и потенциального влияния на них.
Получив доступ к легитимным учётным записям, Volt Typhoon проявляет минимальную активность в скомпрометированной среде, что говорит о том, что их цель — сохранение активности, а не немедленная эксплуатация. Это подтверждается наблюдаемыми закономерностями, когда они методично атакуют одни и те же организации в течение длительных периодов времени, часто охватывающих несколько лет.
Шаг №9: Инфраструктура управления и контроля
Для управления и контроля Volt Typhoon использует скомпрометированные маршрутизаторы малого/домашнего офиса (SOHO) и виртуальные частные серверы (VPS) для проксирования своего трафика. Были замечены случаи использования SOHO-маршрутизаторов Cisco и NETGEAR, снятых с производства, с установленным вредоносным ПО KV Botnet.
Они также установили клиенты быстрого обратного прокси-сервера (FRP) в корпоративной инфраструктуре жертв для организации скрытых каналов связи. В одном случае Volt Typhoon внедрил клиент FRP с именем SMSvcService.exe на сервер контакт-центра Shortel Enterprise, а второй клиент FRP с именем Brightmetricagent.exe — на другой сервер.
При запуске через PowerShell эти клиенты открывают обратные прокси-серверы между скомпрометированной системой и командными серверами Volt Typhoon. Клиент FRP может обнаруживать серверы за сетевыми брандмауэрами или скрытыми с помощью преобразования сетевых адресов (NAT).
Заключение
«Volt Typhoon» представляет серьёзную угрозу для критически важной инфраструктуры США. Их сложная тактика, методы и процедуры, в сочетании с акцентом на заблаговременное размещение для потенциальных разрушительных атак, делают их особенно опасным противником.
Американские агентства-разработчики обеспокоены тем, что эти субъекты могут использовать свой сетевой доступ для создания разрушительных эффектов в случае геополитической напряженности или военных конфликтов.
