volt-typhoon-infrastructure-campaign

# Volt Typhoon Infrastructure Campaign > [!warning] China pre-posicionada em infraestrutura critica dos EUA para possível conflito - ativo desde 2021 > Desde junho de 2021, o [[g1017-volt-typhoon|Volt Typhoon]] (vinculado ao governo da China) manteve acesso persistente e nao detectado a redes de infraestrutura critica dos EUA - comúnicacoes, energia, agua e transporte - usando exclusivamente técnicas Living-off-the-Land (LOTL) sem malware customizado. Em janeiro de 2024, o FBI desmantelou o KV Botnet de roteadores SOHO comprometidos usado como infraestrutura de proxy do grupo. ## Visão Geral **Volt Typhoon Infrastructure Campaign** é uma campanha de pré-posicionamento em infraestrutura crítica atribuída com alta confiança ao governo da República Popular da China (PRC), conduzida pelo grupo [[g1017-volt-typhoon|Volt Typhoon]] (também conhecido como Insidious Taurus e Bronze Silhouette). A campanha se distingue por uso quase exclusivo de técnicas "Living off the Land" (LOTL) e ausência de malware customizado. O objetivo estratégico é manter acesso persistente e não detectado a redes de [[critical-infrastructure|infraestrutura crítica]] dos EUA - incluindo comúnicações, energia, transporte e água - provavelmente para pré-posicionamento em caso de conflito geopolítico. **Motivação inferida:** Estratégica/militar - pré-posicionamento para capacidade de disrupção em infraestrutura crítica em cenário de conflito. **Relevância LATAM/Brasil:** A campanha demonstra a sofisticação de operações de pré-posicionamento estatal em infraestrutura crítica. Organizações brasileiras dos setores de [[energy]], [[telecommunications|telecomúnicações]] e [[government]] devem avaliar suas defesas contra técnicas LOTL, que são extremamente difíceis de detectar com ferramentas tradicionais. ```mermaid gantt title Volt Typhoon Infrastructure Campaign dateFormat YYYY-MM section Fases Operações iniciais furtivas :2021-06, 2023-05 Descoberta pública (Microsoft) :crit, 2023-05, 2023-06 Advisories CISA/NSA/Five Eyes :2023-05, 2024-01 Desmantelamento KV Botnet (FBI) :crit, 2024-01, 2024-02 Expansão Ásia-Pacífico :2024-02, 2025-03 ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2021-06 | Primeiras atividades do Volt Typhoon identificadas retrospectivamente | | 2023-05-24 | Microsoft pública análise inicial identificando campanha contra infraestrutura crítica | | 2023-05-24 | CISA, NSA e Five Eyes públicam advisory conjunto (AA23-144A) | | 2024-01-31 | FBI desmantelou botnet KV de roteadores SOHO usados pelo Volt Typhoon | | 2024-02-07 | CISA e parceiros públicam advisory atualizado (AA24-038A) com orientações LOTL | | 2024 | Expansão de operações para Ásia-Pacífico documentada | | 2025 | Investigações revelam escopo maior de comprometimento em setores de água e energia | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observação na Campanha | |--------|---------|-----|------------------------| | Initial Access | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVEs em Fortinet, Zoho ManageEngine, dispositivos SOHO | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Uso de PowerShell nativo para reconhecimento e movimentação | | Execution | Command and Scripting Interpreter | [[t1059-command-scripting-interpreter\|T1059]] | Uso extensivo de cmd.exe, wmic, netsh | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Tarefas agendadas para manutenção de acesso | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais legítimas para persistência de longo prazo | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Ofuscação mínima - foco em mimetizar atividade legítima | | Defense Evasion | Living Off The Land | [[t1218-system-binary-proxy-execution\|T1218]] | Uso exclusivo de ferramentas nativas do sistema | | Discovery | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento via wmic, systeminfo, ipconfig, netstat | | Lateral Movement | Remote Services | [[t1021-remote-services\|T1021]] | Movimentação lateral via RDP e SMB com credenciais válidas | | Command and Control | Proxy | [[t1090-proxy\|T1090]] | Roteadores SOHO comprometidos como infraestrutura C2 | ## Malware e Ferramentas A campanha do Volt Typhoon é notável pela **ausência de malware customizado**. O grupo utiliza exclusivamente ferramentas nativas do sistema operacional (Living off the Land): - **PowerShell** - reconhecimento e execução de comandos - **wmic** - coleta de informações do sistema - **ntdsutil** - extração de credenciais do Active Directory - **netsh** - configuração de proxy e port forwarding - **certutil** - download de ferramentas adicionais - **Roteadores SOHO comprometidos** - infraestrutura de proxy para C2 ## Alvos e Impacto **Setores alvejados:** - [[critical-infrastructure|infraestrutura crítica]] - sistemas de água, energia, transporte - [[telecommunications|telecomúnicações]] - provedores de comunicação nos EUA e Guam - [[energy]] - empresas de utilidades elétricas e gás - [[government]] - agências governamentais e militares - [[technology]] - provedores de TI e MSPs **Países com vítimas confirmadas:** - EUA - principal alvo, incluindo território de Guam (importância estratégica militar) - Ásia-Pacífico - expansão documentada em 2024 **Impacto documentado:** - Comprometimento de redes de infraestrutura crítica nos EUA com persistência de anos - Botnet de roteadores SOHO (KV-botnet) usada como infraestrutura C2 - Pré-posicionamento para capacidade de disrupção em cenário de conflito EUA-China ## Resposta e Mitigação **Ações de resposta documentadas:** - 2023-05: Microsoft e CISA públicam análises iniciais - 2024-01: FBI desmantela botnet KV de roteadores comprometidos - 2024-02: CISA pública orientações detalhadas sobre defesa contra técnicas LOTL **Recomendações de mitigação:** - Implementar logging avançado de PowerShell (ScriptBlockLogging, TranscriptionLogging) - Monitorar uso anômalo de ferramentas nativas (wmic, netsh, certutil, ntdsutil) - Atualizar firmware de roteadores SOHO e dispositivos de borda - Implementar segmentação de rede rigorosa em redes OT/ICS - Aplicar patches para CVEs conhecidos explorados ([[cve-2021-40539|CVE-2021-40539]], [[cve-2023-27997|CVE-2023-27997]]) - Habilitar MFA em todos os acessos remotos e administrativos **Atores:** [[g1017-volt-typhoon|Volt Typhoon]] **CVEs explorados:** [[cve-2021-40539|CVE-2021-40539]] · [[cve-2023-27997|CVE-2023-27997]] · [[cve-2021-27860|CVE-2021-27860]] **TTPs chave:** [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores impactados:** [[critical-infrastructure|infraestrutura crítica]] · [[telecommunications|telecomúnicações]] · [[energy]] · [[government]] **Campanhas relacionadas:** [[solarwinds-supply-chain-attack|SolarWinds Supply Chain Attack]] --- *Fonte: [Microsoft - Volt Typhoon Targets US Critical Infrastructure](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/)* *Fonte: [CISA - AA24-038A: PRC State-Sponsored Actors](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a)* *Fonte: [CISA - AA23-144A: Living Off the Land](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a)* *Fonte: [Unit 42 - Volt Typhoon Threat Brief](https://unit42.paloaltonetworks.com/volt-typhoon-threat-brief/)*