Säkerhetsforskare på Microsoft har upptäckt att den sedan tidigare kända hackergruppen Volt Typhoon har börjat utföra attacker mot amerikansk infrastruktur med ett nytt, mycket försiktigt tillvägagångssätt. Nu publicerar de en detaljerad genomgång av fynden och en varning till både organisationer som kan vara drabbade och privatpersoner som oanande kan vara till nytta för hackarna.
Attackerna har pågått sedan 2021 och hackarna använder sig uteslutande av verktyg inbyggda i Windows för att styra datorer de har kommit in i och exfiltrera information. Eftersom ingen skadlig kod laddas ner eller installeras är attackerna svårupptäckta, och för att ytterligare dölja sina spår skickar hackarna all trafik via hackade hemmaroutrar.
Microsoft skriver att Volt Typhoon utnyttjar säkerhetsbrister i routrar från Asus, Cisco, D-Link, Netgear och Zyxel. Många hemmaroutrar är öppna för administration utifrån och hackare kan antingen knäcka standardlösenord som ibland är mycket svaga eller utnyttja någon känd säkerhetsbrist i ouppdaterad mjukvara för att ta över en router.
För att ta sig in i organisationers interna nätverk utnyttjar hackarna en okänd säkerhetsbrist i VPN-servern Fortinet, som Microsoft fortfarande jobbar på att hitta. Väl inne utnyttjar de VPN-servern som språngbräda för att komma in i andra system med målet att skaffa sig åtkomst till vanliga användarkonton som de sedan kan utnyttja för att dölja sig i nätverket och försiktigt spionera på organisationen.
Myndigheter i flera länder, bland annat amerikanska NSA och Australiens cybersäkerhetscenter ACSC har gått ut med varningar om attackerna och publicerar riktlinjer för hur organisationer kan skydda sig och upptäcka spår av tidigare intrång. Även Microsoft listar aktivitet som kan vara tecken på Volt Typhoon-attacker, men påpekar att flera av de Windows-funktioner gruppen utnyttjar även utnyttjas av andra hackare.
För privatpersoner är rekommendationen att hålla routrar och annan nätverksutrustning uppdaterad, och att stänga av fjärråtkomst.
