A Microsoft egy új, Flax Typhoon nevezetű hackercsoportot azonosított, amely az elmúlt időszakban kormányzati ügynökségeket, valamint oktatási és informatikai szervezeteket támadott, vélhetően kémkedési céllal.
Ugyan a Microsoft a legtöbb esetben operációs rendszere, a Windows vagy éppen játékos divíziója, az Xbox miatt kerül a hírekbe, most kivételesen kiberbiztonsági ágazata kapcsán cikkezik róla a techvilág, sikerült ugyanis azonosítaniuk egy meglehetősen nagy, Flax Typhoon elnevezésű hackercsoportot.
Érdekesség, hogy a csapat nem nagyon támaszkodott rosszindulatú szoftverekre az áldozathálózathoz való hozzáférés megszerzéséhez és fenntartásához, inkább az operációs rendszerben – jelen esetben a Windowsban – már fellelhető komponenseket, az úgynevezett living-off-the-land binárisokat vagy LOLBineket, valamint legális szoftvereket használtak – írja a Bleeping Computers.
A legalább 2021 közepe óta működő Flax Typhoon elsősorban tajvani szervezeteket célzott meg, bár a Microsoft Délkelet-Ázsiában, Észak-Amerikában és Afrikában is talált néhány áldozatot.
A Microsoft által megfigyelt kampányban a Flax Typhoon nyilvános szervereken, köztük VPN-, webes, Java- és SQL-alkalmazásokban lévő ismert sebezhetőségek kihasználásával tudott bejutni a számítógépekbe. Ezután a csoport a hálózati szintű hitelesítés (NLA) kikapcsolásával, a rendszerleíró adatbázis módosításával és a Windows Sticky Keys elérhetőségi funkciójának kihasználásával RDP- (Remote Desktop Protocol) kapcsolatot hozott létre.
Ezen keresztül a csoport már hozzá is fért a megtámadott számítógéphez, melyen a Microsoft elmondása szerint szinte bármilyen műveletet végezhettek.
Ugyan a Flax Typhoon támadásait semmiképp sem szabad félvállról venni, azok az átlagembereket egyelőre nem érintik – sőt mint írtuk, Európán belül egyáltalán nem talál a Microsoft kompromittálásra utaló nyomot. A vállalat azt tanácsolja a többi vállalatnak, hogy mindenképp alkalmazzák a legújabb biztonsági frissítéseket, és minden fiókban engedélyezzék a többfaktoros hitelesítést.