Çin Volt Typhoon siber-ihale grubu, ABD'de kritik bir altyapı ağına sızdı ve CISA, NSA, FBI ve ortak beş göz ajansından ortak bir danışmanlığa göre, keşfedilmeden önce en az beş yıl boyunca tespit edilmedi.
Volt Typhoon bilgisayar korsanları, kritik altyapı organizasyonlarına yönelik saldırılarının bir parçası olarak karada yaşam (LOTL) tekniklerini kapsamlı bir şekilde kullandıkları bilinmektedir.
Ayrıca çalıntı hesaplar kullanıyor ve güçlü operasyonel güvenlikten yararlanıyorlar, bu da tespit edilmelerini ve tehlikeye atılan sistemlerde uzun vadeli kalıcılığı sürdürmelerini sağlıyor.
Ajanslar, "Aslında, ABD yazar ajansları son zamanlarda bazı kurban BT ortamlarında erişim ve dayanakları en az beş yıl boyunca sürdüren volt tayfun aktörlerinin göstergelerini gözlemledi." Dedi.
"Volt Typhoon aktörleri, hedef kuruluş ve çevresi hakkında bilgi edinmek için kapsamlı bir sansük öncesi keşif yapar; taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) kurbanın ortamına göre uyarlamak ve devam eden kaynakları sürekliliği korumak ve zaman içinde hedef çevreyi anlamak için devam eden kaynakları ayırın , ilk uzlaştıktan sonra bile. "
Çin tehdit grubu, çoğunlukla iletişim, enerji, ulaşım ve su/atık su sektörlerini hedeflerken, Amerika Birleşik Devletleri genelinde çok sayıda kritik altyapı kuruluşunun ağlarını başarıyla ihlal etti.
Hedefleri ve taktikleri aynı zamanda tipik siber casusluk faaliyetlerinden ayrılır ve yetkililere, grubun kendilerini kritik altyapıyı bozma hedefi olan operasyonel teknoloji (OT) varlıklarına erişim sağlayan ağlar içinde konumlandırmayı amaçladığı konusunda yüksek bir güvenle sonuçlanır.
ABD yetkilileri, özellikle potansiyel askeri çatışmaların veya jeopolitik gerilimlerin ortasında yıkıcı etkilere neden olmak için kritik ağlara bu erişimi sömüren Volt Typhoon'u da endişelendiriyorlar.
"Volt Typhoon aktörleri, ABD ile büyük bir kriz veya ABD ile çatışma durumunda ABD kritik altyapısına karşı yıkıcı veya yıkıcı siber faaliyetler için BT ağlarında kendilerini (LOTL) tekniklerini yaşamak için önceden konumlandırmaya çalışıyorlar." Cisa uyardı.
NSA'nın siber güvenlik direktörü ve Ulusal Güvenlik Sistemleri Müdür Yardımcısı (NSS) Rob Joyce, "Bu uzun zamandır ele aldığımız bir şey" dedi.
Diyerek şöyle devam etti: "Volt Typhoon'un kapsamını anlamaktan, kritik altyapı sistemlerini etkileyecek uzlaşmalara, bu müdahalelere karşı sertleşmeye, PRC siber aktörlerle mücadele etmek için ortak ajanslarla birlikte çalışmaya kadar, bunun her alanında daha iyi olduk."
Bugünün danışmanlığına, Volt Typhoon tekniklerinin nasıl tespit edileceği ve kuruluşlarının ağlarından ödün vermek için kullanılıp kullanılmadıkları ve arazi tekniklerini kullanan saldırganlara karşı güvence altına almak için azaltma önlemleri ile ilgili bilgileri içeren teknik bir rehber eşlik ediyor.
Microsoft tarafından yayınlanan bir Mayıs 2023 raporuna göre, bronz siluet olarak da izlenen Çin tehdit grubu, en azından 2011'in ortalarından bu yana ABD kritik altyapısını hedefliyor ve ihlal ediyor.
Saldırıları boyunca, kötü niyetli faaliyetlerini gizlemek ve tespitten kaçmak için ABD genelinde (KV-Botnet olarak adlandırılan) yüzlerce küçük ofis/ev ofisinden (SOHO) bir botnet kullandılar.
FBI, Aralık 2023'te KV-Botnet'i bozdu ve bilgisayar korsanları, Lumen'in Black Lotus laboratuvarlarının kalan tüm C2 ve yük sunucularını düşürdükten sonra sökülen altyapıyı yeniden inşa edemedi.
KV-Botnet'teki vuruşun açıklandığı gün, CISA ve FBI ayrıca Soho yönlendirici üreticilerini, geliştirme ve güvenli konfigürasyon varsayılanlarını kullanarak web yönetimi arayüzü kusurlarını ortadan kaldırarak cihazlarının Volt Typhoon saldırılarına karşı korunmasını sağlamaya çağırdı.
FBI, enfekte yönlendiricilerden kötü amaçlı yazılımları silerek Çin botnetini bozar
Çinli bilgisayar korsanları FBI yayından kaldırıldıktan sonra botnet'i yeniden inşa edemiyor
Gizli KV-Botnet Kaçakları Soho Yönlendiricileri ve VPN Cihazları
CISA: Satıcılar, volt tayfun saldırılarına karşı soho yönlendiricilerini güvence altına almalı
Su Hizmetleri Dev Veolia Kuzey Amerika Fidye Yazılımı Saldırısı
Kaynak: Bleeping Computer