Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/26 19:50]
Potak Mateja [Uvod]
+++ racfor_wiki:seminari2024:tehnike_napredne_hakerske_grupe_volt [2025/01/27 00:23] (trenutno)
Potak Mateja [Tehnike napredne hakerske grupe Volt]
@@ Redak 1: / Redak 1: @@
 ===== Tehnike napredne hakerske grupe Volt =====
+Video: [[https://ferhr-my.sharepoint.com/:v:/g/personal/mp53582_fer_hr/Efi0187hpHJCjgbtQZBvka8Bi1uJVzd30B9DUYxCc8ycTg?e=9g67Bd&nav=eyJwbGF5YmFja09wdGlvbnMiOnt9LCJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbE1vZGUiOiJtaXMiLCJyZWZlcnJhbFZpZXciOiJwb3N0cm9sbC1jb3B5bGluayIsInJlZmVycmFsUGxheWJhY2tTZXNzaW9uSWQiOiI3YjM5ZTM2ZC00MzQwLTQzNTAtOThiNi05YzI2M2UxMjEzMDEifX0%3D|Link na video prezentaciju]]
 ===== Sažetak =====
@@ Redak 18: / Redak 19: @@
 ===== Uvod =====
-Napredna hakerska grupa Volt, također poznata kao **Volt Typhoon**, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koji izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.
+Napredna hakerska grupa Volt, također poznata kao **Volt Typhoon**, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (//Advanced persistent threat//). To su organizirane skupine ljudi koje izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.
@@ Redak 27: / Redak 28: @@
 Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (//factory default logins//) i uređaja koji se nisu redovito ažurirali. \\
 \\
-Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living off the land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //control and command// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\
+Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (//logs//) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (//living-off-the-land//) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje //command and control// (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu.  Ova taktika otežava rad EDR (//endpoint detection and response//) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.\\
 \\
 Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod //Resource Development//.\\

racfor_wiki/seminari2024/tehnike_napredne_hakerske_grupe_volt.1737921010.txt.gz · Zadnja izmjena: 2025/01/26 19:50 od Potak Mateja