Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/26 17:24]
Potak Mateja [Zaključak] 		racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/27 00:23] (trenutno)
Potak Mateja [Tehnike napredne hakerske grupe Volt]
Redak 1: Redak 1:
 ===== Tehnike napredne hakerske grupe Volt ===== ===== Tehnike napredne hakerske grupe Volt =====
  
 +Video: [[https://ferhr-my.sharepoint.com/:v:/g/personal/mp53582_fer_hr/Efi0187hpHJCjgbtQZBvka8Bi1uJVzd30B9DUYxCc8ycTg?e=9g67Bd&nav=eyJwbGF5YmFja09wdGlvbnMiOnt9LCJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbE1vZGUiOiJtaXMiLCJyZWZlcnJhbFZpZXciOiJwb3N0cm9sbC1jb3B5bGluayIsInJlZmVycmFsUGxheWJhY2tTZXNzaW9uSWQiOiI3YjM5ZTM2ZC00MzQwLTQzNTAtOThiNi05YzI2M2UxMjEzMDEifX0%3D|Link na video prezentaciju]]
 ===== Sažetak ===== ===== Sažetak =====
  
 +Hakerska grupa **Volt Typhoon** koja je prema izvještajima povezana s Kinom i aktivna od 2021. godine, cilja kritične infrastrukturne sektore poput komunikacija, transporta i vlade. Pripada kategoriji **APT** (//Advanced Persistand Threat//) grupa koje provode dugotrajne napade koji su često usmjereni na **špijunažu i krađu podataka**. Volt koristi ranjivosti poput slabih lozinki i zastarjelih uređaja, infiltrira u sustave kroz **SOHO** opremu (rutere, VPN uređaje) te se prikriva svoju prisutnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava što otežava njihovo otkrivanje. Ta taktika naziva se **//“living-off-the-land“//**.\\
 +\\
 +Glavne metode napada uključuju im iskorištavanje uređaja **Fortinet Fortiguard**, kompromitaciju **LSASS** procesa kako bi ukrali vjerodajnice te korištenje **proxy** operacija kako bi prikrili svoju prisutnost. Volt je izveo značajne napade, poput infiltracije američke kritične infrastrukture i Singapurskog telekomunikacijskog operatera Singtel, čime su pokazali koliku prijetnju predstavljaju.\\
 +\\
 +Za zaštitu od infiltracije i napada Volt-a preporučuju se **višefaktorska autentifikacija** (MFA), jačanje sigurnosnih postavki sustava (npr. **zaštita LSASS procesa**), **zatvaranje kompromitiranih računa** ili **mijenjanje lozinki** kompromitiranih računa te korištenje alata za otkrivanje prijetnji poput **Microsoft Defendera**. Volt predstavlja ozbiljnu prijetnju te ju se treba shvatiti kao takvu i dobro se obraniti od nje.
  
  
Redak 13: Redak 19:
 ===== Uvod ===== ===== Uvod =====
  
-Napredna hakerska grupa Volt, također poznata kao Volt Typhoon, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koji izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.+Napredna hakerska grupa Volt, također poznata kao **Volt Typhoon**, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koje izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.
  
  
Redak 22: Redak 28:
 Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (//factory default logins//) i uređaja koji se nisu redovito ažurirali. \\ Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (//factory default logins//) i uređaja koji se nisu redovito ažurirali. \\
 \\ \\
-Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living off the land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //control and command// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\+Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living-off-the-land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //command and control// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\
 \\ \\
 Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod //Resource Development//.\\ Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod //Resource Development//.\\
Redak 112: Redak 118:
 ==== Proboj Singtela ==== ==== Proboj Singtela ====
  
-Singtel, odnosno Singapore Telecommunications Ltd., je najveći mobilni operater u Singapuru. Objavljene su vijesti [4] da su u lipnju 2024. Singtel napali hakeri koje Kina sponzorira. Pisac članka tvrdi da je prema anonimnim istražiteljima napada glavni krivac za napad Volt Typhoon koji je napao Singtel u sklopu šire kampanje protiv telekomunikacijskih kompanija i drugih operatera kritične infrastrukture diljem svijeta. Savez za razmjenu obavještajnih podataka „Pet očiju“ (//Five Eyes//, slika 2), koji čine dužnosnici u SAD-u, Australiji, Kanadi, Ujedinjenom Kraljevstvu i na Novom Zelandu, upozorili su ranije u 2024. godini da se Volt Typhoon ubacuje u ugrožene IT mreže kako bi Kini dao mogućnost provođenja razornih kibernetičkih napada u slučaju vojnog sukoba sa zapadnim zemljama.\\+Singtel, odnosno Singapore Telecommunications Ltd., je najveći mobilni operater u Singapuru. Objavljene su vijesti [4] da su u lipnju 2024. Singtel napali hakeri koje Kina sponzorira. Pisac članka tvrdi da je prema anonimnim istražiteljima napada glavni krivac za napad Volt Typhoon koji je napao Singtel u sklopu šire kampanje protiv telekomunikacijskih kompanija i drugih operatera kritične infrastrukture diljem svijeta. Savez za razmjenu obavještajnih podataka „Pet očiju“ (//Five Eyes//, slika 7), koji čine dužnosnici u SAD-u, Australiji, Kanadi, Ujedinjenom Kraljevstvu i na Novom Zelandu, upozorili su ranije u 2024. godini da se Volt Typhoon ubacuje u ugrožene IT mreže kako bi Kini dao mogućnost provođenja razornih kibernetičkih napada u slučaju vojnog sukoba sa zapadnim zemljama.\\
 {{racfor_wiki:seminari2024:five-eyes.jpg?500}}\\ {{racfor_wiki:seminari2024:five-eyes.jpg?500}}\\
-**Slika 2**: Države saveza "Pet očiju"\\+**Slika 7**: Države saveza "Pet očiju"\\
 \\ \\
 Nakon te situacije, izašao je članak [5] u studenom 2024. godine u kojem Singtel tvrdi da su uništili zlonamjerni softver (//malware//) nakon te prijetnje. Agencija za kibernetičku sigurnost Singapura (CSA) i //Infocomm Media Development Authority// (IMDA) rekli su kako su saznali od Singtela da nijedna usluga nije pogođena niti da je prijavljen gubitak podataka.\\ Nakon te situacije, izašao je članak [5] u studenom 2024. godine u kojem Singtel tvrdi da su uništili zlonamjerni softver (//malware//) nakon te prijetnje. Agencija za kibernetičku sigurnost Singapura (CSA) i //Infocomm Media Development Authority// (IMDA) rekli su kako su saznali od Singtela da nijedna usluga nije pogođena niti da je prijavljen gubitak podataka.\\
racfor_wiki/seminari2024/tehnike_napredne_hakerske_grupe_volt.1737912272.txt.gz · Zadnja izmjena: 2025/01/26 17:24 od Potak Mateja
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0