Η Microsoft προειδοποιεί για εκστρατεία κατασκοπείας που εδρεύει στην Κίνα με στόχο την Ταϊβάν

By

Marizas Dimitris

On

Αυγ 26, 2023

Η Microsoft ανακάλυψε μια εκστρατεία κατασκοπείας στον κυβερνοχώρο που στόχευε οργανισμούς στην Ταϊβάν, η οποία αποδίδεται σε μια ομάδα απειλών με έδρα την Κίνα που ονομάζεται Flax Typhoon.

Σύμφωνα με

η εταιρεία Flax Typhoon δραστηριοποιείται από το 2021, στοχεύοντας κρατικούς φορείς και εταιρείες στον τομέα της

εκπαίδευση

ς, της μεταποίησης, της πληροφορικής και άλλων τομέων.

Η καμπάνια εκμεταλλεύεται ευπάθειες σε διακομιστές που έχουν πρόσβαση στο διαδίκτυο για να αποκτήσει αρχική πρόσβαση σε δίκτυα-στόχους. Οι εισβολείς χρησιμοποιούν εκμεταλλεύσεις για να αναπτύξουν κελύφη Ιστού, επιτρέποντάς τους να εκτελούν εντολές σε παραβιασμένα συστήματα εξ αποστάσεως. Μόλις μπει στο δίκτυο, το Flax Typhoon χρησιμοποιεί διάφορες τεχνικές για να δημιουργήσει μόνιμη πρόσβαση.

Μια βασική μέθοδος είναι ο συμβιβασμός των συνδέσεων απομακρυσμένης επιφάνειας εργασίας με την “απενεργοποίηση του ελέγχου ταυτότητας σε επίπεδο δικτύου και την παραβίαση της δυνατότητας Sticky Keys”. Αυτό επιτρέπει στους εισβολείς να έχουν απομακρυσμένη πρόσβαση στα συστήματα ακόμη και μετά την επανεκκίνηση. Η ομάδα εγκαθιστά επίσης λογισμικό VPN για να δημιουργήσει μια σήραγγα στο δίκτυο για έλεγχο.

Το Flax Typhoon στοχεύει τη μνήμη διεργασιών της τοπικής αρχής ασφαλείας υποσυστήματος υπηρεσίας (LSASS) και την ομάδα μητρώου Διαχείριση λογαριασμού ασφαλείας (SAM). Και τα δύο καταστήματα περιέχουν κατακερματισμένους κωδικούς πρόσβασης για χρήστες που είναι συνδεδεμένοι στο τοπικό σύστημα.

Το Flax Typhoon αναπτύσσει συχνά το Mimikatz, ένα δημόσια διαθέσιμο κακόβουλο λογισμικό που μπορεί να απορρίψει αυτόματα αυτά τα καταστήματα όταν

δεν είναι

σωστά ασφαλισμένα. Οι κατακερματισμοί κωδικών πρόσβασης που προκύπτουν μπορούν να σπάσουν εκτός σύνδεσης ή να χρησιμοποιηθούν σε επιθέσεις pass-the-hash (PtH) για πρόσβαση σε άλλους πόρους στο παραβιασμένο δίκτυο.

Αφού καθιέρωσε την επιμονή, το Flax Typhoon εστιάζει στην κλοπή διαπιστευτηρίων. Η ομάδα απαριθμεί σημεία επαναφοράς συστήματος, που είναι πιθανό να κατανοήσουν το παραβιασμένο δίκτυο και να αφαιρέσουν τα ίχνη της δραστηριότητάς τους. Ωστόσο, η Microsoft λέει ότι δεν έχει παρατηρήσει την πρόοδο των επιτιθέμενων προς περαιτέρω στόχους διείσδυσης δεδομένων.

Η Microsoft δηλώνει ότι έχει ειδοποιήσει απευθείας στοχευμένους πελάτες και παρέχει δυνατότητες ανίχνευσης μέσω του

Microsoft 365

Defender. Ωστόσο, η άμυνα έναντι αυτής της απειλής είναι πρόκληση, καθώς η ομάδα βασίζεται σε μεγάλο βαθμό σε έγκυρους λογαριασμούς και νόμιμα εργαλεία.

Η είδηση έρχεται καθώς η κυβέρνηση των ΗΠΑ ερευνά τον ρόλο της Microsoft στην παραβίαση ηλεκτρονικού ταχυδρομείου που υποστηρίζεται από την Κίνα. Μια συμβουλευτική επιτροπή κυβερνοασφάλειας των ΗΠΑ διερευνά πιθανούς κινδύνους στο

cloud computing

, συμπεριλαμβανομένου του ρόλου της Microsoft στην παραβίαση.