Microsoft berichtet, dass ein staatlich gesponserter chinesischer Akteur es auf kritische Infrastrukturen in den USA abgesehen

Microsoft hat bekannt gegeben, dass Volt Typhoon, ein vom chinesischen Staat gesponserter Akteur, kritische Infrastrukturorganisationen in den Vereinigten Staaten ins Visier nimmt. Nach Angaben des Unternehmens entwickelt Volt Typhoon die Fähigkeit, kritische Kommunikationsinfrastrukturen zwischen den USA und Asien zu stören - eine Fähigkeit, die sich im Falle einer Krise mit China als nützlich erweisen könnte.

Die böswillige Kampagne läuft seit Mitte 2021 und zielt auf Unternehmen in Guam und den übrigen Vereinigten Staaten ab. Die betroffenen Unternehmen stammen aus den Bereichen Kommunikation, Fertigung, Versorgung, Transport, Bauwesen, Schifffahrt, Regierung, Informationstechnologie und Bildung.

Microsoft Defender Antivirus und Microsoft Defender for Endpoint informieren Benutzer, wenn sie durch Volt Typhoon gefährdet sind. Auf Microsoft Defender Antivirus sind die folgenden Punkte mit Volt Typhoon verbunden:

  • Verhalten: Win32/SuspNtdsUtilUsage.A
  • Verhalten: Win32/SuspPowershellExec.E
  • Verhalten: Win32/SuspRemoteCmdCommandParent.A
  • Verhalten: Win32/UNCFilePathOperation
  • Verhalten: Win32/VSSAmsiCaller.A
  • Verhalten: Win32/WinrsCommand.A
  • Verhalten: Win32/WmiSuspProcExec.J!se
  • Verhalten: Win32/WmicRemote.A
  • Verhalten: Win32/WmiprvseRemoteProc.B

Wenn Sie Microsoft Defender für Endpoint verwenden, wird die folgende Warnung angezeigt:

  • Volt Typhoon-Bedrohungsakteur erkannt

Volt Typhoon kann auch die folgenden Meldungen in Microsoft Defender for Endpoint verursachen, ist aber nicht unbedingt die Ursache:

  • Ein Computer wurde so konfiguriert, dass er Datenverkehr an eine nicht-lokale Adresse weiterleitet
  • Ntdsutil sammelt Active Directory-Informationen
  • Passwort-Hashes wurden aus dem LSASS-Speicher entnommen
  • Verdächtige Verwendung von wmic.exe zur Ausführung von Code
  • Impacket-Toolkit

Wenn Sie von Volt Typhoon betroffen sind, sollten Sie die Anmeldeinformationen für alle gefährdeten Konten schließen oder ändern. Außerdem wird empfohlen, die Aktivitäten der kompromittierten Konten zu überprüfen, um festzustellen, was die Hacker getan haben könnten.

Wenn Sie keine geeigneten Sicherheitsmaßnahmen ergriffen haben, werden Sie möglicherweise nie erfahren, dass die Hacker jemals in Ihrem System waren. Laut Microsoft wird die Kampagne heimlich durchgeführt, indem der Datenverkehr durch Netzwerkgeräte wie Router, Firewalls und VPN-Hardware geleitet wird und sich so in die normalen Netzwerkaktivitäten einfügt.

Microsoft hat die Volt Typhoon-Aktivitäten ausführlich beschrieben. Wenn Sie an den technischen Details interessiert sind, sollten Sie den Blogbeitrag von Microsoft lesen.