Video: Link na video prezentaciju

Hakerska grupa Volt Typhoon koja je prema izvještajima povezana s Kinom i aktivna od 2021. godine, cilja kritične infrastrukturne sektore poput komunikacija, transporta i vlade. Pripada kategoriji APT (Advanced Persistand Threat) grupa koje provode dugotrajne napade koji su često usmjereni na špijunažu i krađu podataka. Volt koristi ranjivosti poput slabih lozinki i zastarjelih uređaja, infiltrira u sustave kroz SOHO opremu (rutere, VPN uređaje) te se prikriva svoju prisutnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava što otežava njihovo otkrivanje. Ta taktika naziva se “living-off-the-land“.

Glavne metode napada uključuju im iskorištavanje uređaja Fortinet Fortiguard, kompromitaciju LSASS procesa kako bi ukrali vjerodajnice te korištenje proxy operacija kako bi prikrili svoju prisutnost. Volt je izveo značajne napade, poput infiltracije američke kritične infrastrukture i Singapurskog telekomunikacijskog operatera Singtel, čime su pokazali koliku prijetnju predstavljaju.

Za zaštitu od infiltracije i napada Volt-a preporučuju se višefaktorska autentifikacija (MFA), jačanje sigurnosnih postavki sustava (npr. zaštita LSASS procesa), zatvaranje kompromitiranih računa ili mijenjanje lozinki kompromitiranih računa te korištenje alata za otkrivanje prijetnji poput Microsoft Defendera. Volt predstavlja ozbiljnu prijetnju te ju se treba shvatiti kao takvu i dobro se obraniti od nje.

Napredna hakerska grupa Volt, također poznata kao Volt Typhoon, je hakerska grupa koju prema izvještajima sponzorira Kina. Ne zna se točno vrijeme kad su nastali, ali pretpostavlja se da su krenuli s radom oko sredine 2021. godine [1], a možda i ranije. Spadaju u grupu APT-a (Advanced persistent threat). To su organizirane skupine ljudi koje izvode napade kroz dulje vremensko razdoblje i ciljaju točno određenog subjekta, najčešće vlade različitih država i velike kompanije [2]. U medijima se Volt najviše spominje u kontekstu svojih hakerskih napada na Ameriku. Konkretno, Microsoft tvrdi da je Volt ciljao organizacije kritične infrastrukture u Guamu i drugdje u Sjedinjenim Državama [3]. Kažu da je Volt uspio infiltrirati sektore komunikacija, proizvodnje, komunalnih usluga, transporta, građevinarstva, pomorstva, vlade, informacijskih tehnologija i obrazovanja.

Volt se fokusira na špijunažu, krađu podataka i pristup podatcima za autentifikaciju te nastoje što duže neopaženo ostati u sustavu. Iskorištavaju ranjivosti poput slabih administratorskih lozinki, tvornički zadanih podataka za prijavu (factory default logins) i uređaja koji se nisu redovito ažurirali.

Jako su opasni jer nakon njihovih napada na sustav nema puno podataka u zapisima (logs) koji bi naznačili njihovu prisutnost. Prisutnost im se ne zapisuje jer nakon što uđu u sustav pokušavaju se uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima, odnosno alatima unutar infiltriranog sustava (living-off-the-land) poput ugrađenih alata za mrežnu administraciju. Također je zapisano [3] da koriste prilagođene verzije alata otvorenog koda za uspostavljanje command and control (C2) kanala preko proxyja kako bi i dalje ostali nezamijećeni. Pokreću naredbe preko naredbene linije kako bi skupili podatke, uključujući podatke za autentifikaciju iz lokalnih i mrežnih sustava, kako bi spremili te podatke u arhivsku datoteku i pripremili ih za eksfiltraciju te kako bi onda koristili ukradene vjerodajnice za održavanje prisutnosti u sustavu. Ova taktika otežava rad EDR (endpoint detection and response) programa za otkrivanje i odgovor na prijetnje na krajnjim točkama.

Također, Volt usmjerava promet kroz kompromitiranu mrežnu opremu za male urede i kućne urede (SOHO, small office and home office), uključujući rutere, vatrozide i VPN hardver. To je njihov prvi korak napada prikazan na slici 1 pod Resource Development.
Slika 1: Dijagram napada hakerske grupe Volt [3]

Volt je na mnogo načina sličan tradicionalnom botnetu jer preuzima kontrolu nad ranjivim uređajima poput rutera i sigurnosnih kamera te se tako skriva i stvara uporište kako bi taj sustav koristio za pokretanje budućih napada. Zbog ovakvog načina infiltriranja i rada je stručnjacima za kibernetičku sigurnost teško odrediti izvor napada.

Volt ostvaruje početni pristup (Initial access, drugi korak na slici 1) ciljanim organizacijama preko Fortinet Fortiguard uređaja koji su okrenuti prema internetu te koji bi trebali pružiti kibernetičku sigurnost korisnicima. Microsoft i dalje nastavlja istraživati metode Volta za dobivanje pristupa tim uređajima, tj. i dalje nije otkriveno kako Volt infiltrira te uređaje. Napadač pokušava iskoristiti sve privilegije koje daje Fortinet uređaj, zatim izvlači vjerodajnice na Active Directory račun koji koristi uređaj te se onda s tim vjerodajnicama pokušava autentificirati drugim uređajima na mreži.

Volt prosljeđuje sav svoj mrežni promet svojim ciljnim uređajima preko kompromitiranih SOHO mrežnih rubnih uređaja (uključujući i preko rutera). Microsoft je potvrdio da mnogi uređaji, uključujući one koje proizvode ASUS, Cisco, D-Link, NETGEAR i Zyxel, omogućuju vlasniku da izlaže HTTP ili SSH sučelja za upravljanje prema internetu. Vlasnici rubnih mrežnih uređaja trebali bi osigurati da upravljačka sučelja nisu izložena javnom internetu kako bi se smanjila njihova površina napada. Volt poboljšava tajnost svojih operacija i smanjuje prekomjerne troškove za nabavu infrastrukture tako što izvodi proxy operacije preko ovih uređaja.

Kad Volt dobije pristup ciljanom okruženju, počinje provoditi aktivnosti tako što pokreće naredbe putem naredbenog retka. Microsoft djelatnici su zaključili da su neke od ovih naredbi istraživačke ili eksperimentalne jer ih operateri prilagođavaju i ponavljaju više puta. Nakon kompromitiranja, Volt rijetko koristi zlonamjerni softver u svojim aktivnostima. Umjesto toga, oslanjaju se na live-off-the-land naredbe kako bi pronašli informacije o sustavu, otkrili dodatne uređaje na mreži i izvukli podatke.

Pristup vjerodajnicama (Credential Access) prikazan je na slici 1 u 5. koraku. Ako račun koji Volt kompromitira s Fortinet uređaja ima povlašteni pristup, onda Volt koristi taj račun za izvođenje aktivnosti pomoću kojih bi mogao pristupiti vjerodajnicama. Microsoft je primijetio da Volt pokušava izbaciti (dump) vjerodajnice kroz usluge podsustava lokalnih sigurnosnih tijela (LSASS, Local Security Authority Subsystem Service). To je kritičan Windows proces odgovoran za provođenje sigurnosnih pravila i upravljanje autentifikacijom korisnika u sustavu. Memorija LSASS procesa sadrži hasheve za vjerodajnice operacijskog sustava trenutnog korisnika. Na slici 2 prikazana je naredba za ispis memorije procesa LSASS koja je kodirana u Base64, a na slici 3 prikazana je dekodirana Base64 naredba od Volt-a za ispis memorije procesa LSASS.

Slika 2: Naredba Volt-a za ispis memorije procesa LSASS, kodirana u Base64

Slika 3: Dekodirana Base64 naredba Volt-a za ispis memorije procesa LSASS

U domenskom okruženju, LSASS komunicira s kontrolerom domene (domain controller) kako bi provjerio autentičnost korisnika i dohvatio kojim grupama pripada korisnik. Volt također često pokušava koristiti alat naredbenog retka koji se zove Ntdsutil.exe kako bi stvorio instalacijski medij iz kontrolera domene, bilo udaljeno ili lokalno. Ovi mediji se koriste u instalaciji novih kontrolera domene. Datoteke u instalacijskom mediju sadrže korisnička imena i hasheve lozinki iz kojih napadači mogu otkriti lozinke dok su offline. Tako dobivaju valjane vjerodajnice za račune domene koje mogu koristiti u slučaju da izgube pristup nekoj organizaciji koju su prethodno ugrozili, tj. infiltrirali. Na slici 4 prikazana je naredba za udaljeno kreiranje novog medija za instalaciju kontrolera domene, a na slici 5 prikazana je naredba za lokalno kreiranje novog medija za instalaciju kontrolera domene.

Slika 4: Naredba Volt-a za udaljeno kreiranje novog medija za instalaciju kontrolera domene

Slika 5: Naredba Volt-a za lokalno kreiranje novog medija za instalaciju kontrolera domene

Otkrivanje (Discovery) je prikazano kao 6. korak na slici 1. Microsoft je primijetio kako Volt otkriva sistemske informacije, uključujući:

• vrste datotečnih sustava
• imena diskova, veličinu i slobodan prostor
• pokrenute procese
• otvorene mreže

Volt hakeri također pokušavaju otkriti druge sustave na kompromitiraoj mreži koristeći PowerShell, Windows Management Instrumentation Command-line (WMIC) i naredbu ping. Rijetko kad napadači pokreću provjere sustava kako bi utvrdili rade li unutar virtualnog okruženja.

Sakupljanje (Collection) je 7. korak na slici 1. Osim sakupljanja vjerodajnica operacijskog sustava i domene, Volt sakuplja (dump) podatke iz lokalnih aplikacija web preglednika. Microsoft je također uočio da napadači prikupljaju i pripremaju podatke za eksfiltraciju u obliku arhiva koje su zaštićene lozinkom.

Zapovijedanje i kontrola (Command and control) je 8. korak na slici 1. U većini slučajeva, Volt pristupa kompromitiranim sustavima prijavom s važećim vjerodajnicama, tj. na isti način na koji to rade ovlašteni korisnici. Međutim Microsoft je primijetio da rijetko kad operateri Volt-a stvaraju proxyje na kompromitiranim sustavima kako bi olakšali pristup. To postižu pomoću ugrađene naredbe netsh portproxy. Na slici 6 prikazane su naredbe za kreiranje i kasnije brisanje proxyja za portove u kompromitiranom sustavu.

Slika 6: Naredbe Volt-a za kreiranje i kasnije brisanje proxyja za portove u kompromitiranom sustavu

Rijetko kad Volt također koristi prilagođene verzije alata otvorenog koda (open-source tools) Impacket i Fast Reverse Proxy (FRP) za uspostavljanje command and control (C2) kanala preko proxyja. Kompromitirane organizacije mogu promatrati C2 pristup u obliku uspješnih prijava s neobičnih IP adresa. Isti korisnički račun koji se koristi za ove sumnjive prijave može biti povezan s aktivnošću iz naredbenog retka koja omogućuje daljnji pristup vjerodajnicama. Microsoft će nastaviti nadzirati Volt Typhoon i pratiti promjene u njihovim aktivnostima i alatima.

Ublažavanje rizika od suparnika, kao što je Volt, koji se oslanjaju na valjane račune i living-off-the-land binarne datoteke (LOLBins) posebno je izazovno. Otkrivanje aktivnosti koja koristi normalne načine, tj. kanale za prijavu i binarne datoteke sustava zahtijeva praćenje ponašanja napadača. Rješavanje problema zahtijeva zatvaranje kompromitiranih računa ili promjenu vjerodajnica za kompromitirane račune. Ako sumnjamo da je netko kompromitirao naš račun ili utjecao na sustav, Microsoft predlaže [3] da ih treba istražiti:

• trebamo identificirati LSASS izbacivanje (dumping) i stvaranje medija za instalaciju kontrolera domene kako bismo identificirali pogođene račune
• trebamo provjeriti aktivnost kompromitiranih računa te utvrditi jesu li izvršili neke zlonamjerne radnje ili izložili podatke
• trebamo ukloniti sve kompromitirane račune ili promijenite vjerodajnice za sve njih
  • ovisno o razini aktivnosti prikupljanja, to može utjecati na mnoge račune

Microsoft predlaže [3] da možemo umanjiti rizik od kompromitiranih valjanih računa provođenjem snažne višefaktorske autentifikacije (Multi-factor authentication, MFA) pomoću hardverskih sigurnosnih ključeva ili pomoću Microsoft Authenticatora. Prijava bez lozinke, pravila isteka lozinke i deaktivacija nekorištenih računa također mogu pomoći u smanjenju rizika od ove metode pristupa.

Možemo smanjiti površinu napada. Korisnici Microsofta mogu uključiti sljedeća pravila za smanjenje površine napada kako bi blokirali ili zapisali (log) neke opažene aktivnosti povezane s ovom prijetnjom:

• Možemo blokirati krađu vjerodajnica iz lokalnog podsustava autoriteta za sigurnost Windows (lsass.exe). Također možemo blokirati kreiranje procesa koji su nastali iz PSExec i WMI naredbi. Neke organizacije mogu imati problema s kompatibilnošću s ovim pravilom na određenim sustavima poslužitelja. Međutim, organizacije bi trebale implementirati blokiranje kreiranja takvih procesa na drugim sustavima kako bi spriječile bočno pomicanje (lateral moving) koje potječe iz PsExeca i WMI-ja. Bočno pomicanje znači da napadač može iz jednog kompromitiranog sustava otići u drugi sustav.
• Možemo blokirati izvršavanje potencijalno opasnih skripti.

Možemo ojačati LSASS proces omogućavanjem Protective Process Light (PPL) za LSASS na Windows 11 uređajima. Nove instalacije sustava Enterprise Windows 11 (22H2 ažuriranje) imaju omogućenu ovu značajku prema zadanim postavkama. Osim toga, možemo omogućiti Windows Defender Credential Guard, koji je također uključen prema zadanim postavkama za organizacije koje koriste Enterprise izdanje sustava Windows 11.

Možemo uključiti zaštitu u oblaku u programu Microsoft Defender Antivirusu kako bismo se zaštitili od alata, tehnika i ponašanja napadača koji se brzo razvijaju poput onih koje pokazuje Volt Typhoon.

Možemo također pokrenuti otkrivanje i odgovor krajnje točke (endpoint detection and response, EDR) u blok načinu rada tako da bi Microsoft Defender za Endpoint mogao blokirati zlonamjerne objekte. To će funkcionirati čak i kad naš drugi antivirus program (koji nije Microsoftov) ne otkrije prijetnju ili kad Microsoft Defender Antivirus radi u pasivnom načinu. EDR u blok modu radi u pozadini kako bi popravio zlonamjerne objekte koji su otkriveni nakon kompromitacije.

Kao što je spomenuto ranije u seminaru, američka vlada je otkrila sumnjive aktivnosti na svojim sustavima u Americi i u Guamu. Tvrde da su te aktivnosti pokazatelj da netko izvana pokušava sakupiti informacije o američkoj kritičnoj infrastrukturi i vojnim sposobnostima. Microsoft i druge agencije tvrde da bi ovi napadi mogli biti priprema za potencijalni budući napad na američku kritičnu infrastrukturu [3].

Singtel, odnosno Singapore Telecommunications Ltd., je najveći mobilni operater u Singapuru. Objavljene su vijesti [4] da su u lipnju 2024. Singtel napali hakeri koje Kina sponzorira. Pisac članka tvrdi da je prema anonimnim istražiteljima napada glavni krivac za napad Volt Typhoon koji je napao Singtel u sklopu šire kampanje protiv telekomunikacijskih kompanija i drugih operatera kritične infrastrukture diljem svijeta. Savez za razmjenu obavještajnih podataka „Pet očiju“ (Five Eyes, slika 7), koji čine dužnosnici u SAD-u, Australiji, Kanadi, Ujedinjenom Kraljevstvu i na Novom Zelandu, upozorili su ranije u 2024. godini da se Volt Typhoon ubacuje u ugrožene IT mreže kako bi Kini dao mogućnost provođenja razornih kibernetičkih napada u slučaju vojnog sukoba sa zapadnim zemljama.

Slika 7: Države saveza “Pet očiju”

Nakon te situacije, izašao je članak [5] u studenom 2024. godine u kojem Singtel tvrdi da su uništili zlonamjerni softver (malware) nakon te prijetnje. Agencija za kibernetičku sigurnost Singapura (CSA) i Infocomm Media Development Authority (IMDA) rekli su kako su saznali od Singtela da nijedna usluga nije pogođena niti da je prijavljen gubitak podataka.

Hakerska grupa Volt predstavlja veliki rizik za organizacije kritične infrastrukture diljem svijeta. Nakon infiltriranja sustava, Volt hakeri mogu jako dugo ostati nezamijećeni te zbog toga predstavljaju veliku prijetnju. Uspješni su u tome zbog vrhunskog korištenja komandne linije i jer se mogu uklopiti u normalnu mrežnu aktivnost koristeći se postojećim resursima. Imali su period gdje je bilo zabilježeno da nisu bili toliko aktivni od kolovoza 2023. do siječnja 2024., vjerojatno zbog fokusa javnosti na prethodne napade i infiltracije. U budućnosti bi mogli postati još opasniji i još više napredovati te je zato bitno da poduzmemo odgovarajuće mjere zaštite i prevencije napada koje nam predlažu odgovarajuća tijela.

[1] Wikipedija, Volt Typhoon: https://en.wikipedia.org/wiki/Volt_Typhoon
[2] CIS, Advanced Persistent Threat napadi: https://www.cis.hr/dokumenti/2988-advanced-persistent-threat-napadi.html
[3] Microsoft, Volt Typhoon targets US critical infrastructure with living-off-the-land techniques: https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
[4] Bloomberg, Chinese Group Accused of Hacking Singtel in Telecom Attacks: https://www.bloomberg.com/news/articles/2024-11-05/chinese-group-accused-of-hacking-singtel-in-telecom-attacks
[5] Channel News Asia, Singtel detected and 'eradicated' malware said to be from Chinese hacking group: https://www.channelnewsasia.com/singapore/singtel-malware-chinese-hacking-group-volt-typhoon-4724931