Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/26 17:34]
Potak Mateja [Sažetak]
+++ racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/27 00:23] (trenutno)
Potak Mateja [Tehnike napredne hakerske grupe Volt]
@@ Redak 1: / Redak 1: @@
 ===== Tehnike napredne hakerske grupe Volt =====
+Video: [[https://ferhr-my.sharepoint.com/:v:/g/personal/mp53582_fer_hr/Efi0187hpHJCjgbtQZBvka8Bi1uJVzd30B9DUYxCc8ycTg?e=9g67Bd&nav=eyJwbGF5YmFja09wdGlvbnMiOnt9LCJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbE1vZGUiOiJtaXMiLCJyZWZlcnJhbFZpZXciOiJwb3N0cm9sbC1jb3B5bGluayIsInJlZmVycmFsUGxheWJhY2tTZXNzaW9uSWQiOiI3YjM5ZTM2ZC00MzQwLTQzNTAtOThiNi05YzI2M2UxMjEzMDEifX0%3D|Link na video prezentaciju]]
 ===== Sažetak =====
@@ Redak 18: / Redak 19: @@
 ===== Uvod =====
-Napredna hakerska grupa Volt, također poznata kao Volt Typhoon, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koji izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.
+Napredna hakerska grupa Volt, također poznata kao **Volt Typhoon**, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koje izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.
@@ Redak 27: / Redak 28: @@
 Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (//factory default logins//) i uređaja koji se nisu redovito ažurirali. \\
 \\
-Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living off the land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //control and command// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\
+Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living-off-the-land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //command and control// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\
 \\
 Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod //Resource Development//.\\

racfor_wiki/seminari2024/tehnike_napredne_hakerske_grupe_volt.1737912879.txt.gz · Zadnja izmjena: 2025/01/26 17:34 od Potak Mateja