Volt Typhoon. Microsoft demaskuje zamaskowany chiński malware, który celuje w amerykańską infrastrukturę krytyczną.

Całość wygląda na dość szerokie działanie. Zobaczcie tylko z jakich sektorów pochodzą „trafione” organizacje:

the affected organizations span the communications, manufacturing, utility, transportation, construction, maritime, government, information technology, and education sectors. Observed behavior suggests that the threat actor intends to perform espionage and maintain access without being detected for as long as possible.

Malware dostaje się poprzez niezałatane, a wystawione do internetu urządzenia Fortinetu:

The threat actor attempts to leverage any privileges afforded by the Fortinet device, extracts credentials to an Active Directory account used by the device, and then attempts to authenticate to other devices on the network with those credentials.

Do zamaskowania ruchu atakujący wykorzystują przejęte urządzenia domowe (mowa jest o takich producentach jak: ASUS, Cisco, D-Link, NETGEAR, Zyxel), z których zbudowana jest sieć anonimizująca. O podobnej historii pisaliśmy niedawno w temacie TP-linka.

~ms