ABD hükümeti Çarşamba günü yaptığı açıklamada, Çin bağlantılı devlet destekli bir tehdit aktörü olan Volt Typhoon tarafından ele geçirilen yüzlerce ABD merkezli küçük ofis ve ev ofisi (SOHO) yönlendiricisinden oluşan bir botnet’i etkisiz hale getirmek ve bilgisayar korsanlığının yarattığı etkiyi azaltmak için adımlar attığını söyledi. kampanya.
Botnet’in varlığı KV-botnetilk olarak Lumen Technologies’deki Black Lotus Labs ekibi tarafından Aralık 2023’ün ortasında açıklandı. Yasa uygulama çabaları bu haftanın başında Reuters tarafından bildirildi.
“KV-botnet’i oluşturan yönlendiricilerin büyük çoğunluğu, ‘kullanım ömrü sonu’ durumuna ulaştıkları için savunmasız olan Cisco ve NetGear yönlendiricileriydi; yani artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmiyorlardı.” Adalet Bakanlığı (DoJ) bir basın açıklamasında şunları söyledi.
Volt Typhoon (diğer adıyla DEV-0391, Bronze Silhouette veya Vanguard Panda), ABD ve Guam’daki kritik altyapı sektörlerini hedef alan siber saldırılara atfedilen, Çin merkezli bir düşman topluluğuna verilen takma addır.
CISA Direktörü Jen Easterly, “‘Volt Typhoon’ olarak bilinen bir grup da dahil olmak üzere Çinli siber aktörler, büyük bir kriz veya ABD ile çatışma durumunda yıkıcı siber saldırılar başlatmaya hazır olmak için kritik altyapımızın derinliklerine iniyor.” dedi. .
2021’den bu yana aktif olduğuna inanılan siber casusluk grubu, radarın altından uçmak ve hassas verileri toplamak için kurban ortamlarında uzun süre varlığını sürdürmek için meşru araçlara ve arazide yaşama (LotL) tekniklerine güvenmesiyle biliniyor. bilgi.
Çalışma şeklinin bir diğer önemli yönü, trafiği, yönlendiriciler, güvenlik duvarları ve VPN donanımı da dahil olmak üzere güvenliği ihlal edilmiş SOHO ağ ekipmanı üzerinden yönlendirerek, bunların kökenlerini gizlemeye çalışarak normal ağ etkinliğine karışmaya çalışmasıdır.
Bu, gelişmiş kalıcı tehdit aktörleri için gizli bir veri aktarım ağı olarak kullanılmak üzere Cisco, DrayTek, Fortinet ve NETGEAR’ın cihazlarına el koyan KV-botnet aracılığıyla gerçekleştirilir. Botnet operatörlerinin hizmetlerini Volt Typhoon da dahil olmak üzere diğer bilgisayar korsanlığı örgütlerine sunduğundan şüpheleniliyor.
Ocak 2024’te, SecurityScorecard’ın bu ayki bir raporu, botnet’in, 1 Aralık’tan itibaren 37 günlük bir süre içinde kullanım ömrü sona eren Cisco RV320/325 yönlendiricilerinin %30’unu (veya 1.116 adetin 325’ini) ele geçirmekten nasıl sorumlu olduğunu ortaya çıkardı. 2023’ten 7 Ocak 2024’e kadar.
“Volt Typhoon, KV-botnet’in en az bir kullanıcısıdır ve […] Lumen Black Lotus Labs, bu botnet’in operasyonel altyapılarının bir alt kümesini kapsadığını belirterek, botnet’in “en az Şubat 2022’den beri aktif olduğunu” ekledi.
Botnet ayrıca, savunmasız yönlendiricilere bir sanal özel ağ (VPN) modülü indirmek ve botnet’i kontrol etmek için doğrudan şifreli bir iletişim kanalı kurmak ve onu operasyonel hedeflerine ulaşmak için bir aracı aktarma düğümü olarak kullanmak üzere tasarlanmıştır.
“KV-botnet’in bir işlevi, virüs bulaşmış SOHO yönlendiricileri arasında şifrelenmiş trafiği ileterek bilgisayar korsanlarının faaliyetlerini anonimleştirmelerine olanak sağlamaktır (yani, bilgisayar korsanları, Çin’deki gerçek bilgisayarları yerine SOHO yönlendiricilerinden çalışıyor gibi görünüyor)”. ABD Federal Soruşturma Bürosu’nun (FBI) sunduğu beyanlara göre.
Ajans, botnet’i bozma çabalarının bir parçası olarak, KV-botnet yükünü silmek ve yeniden virüs bulaşmasını önlemek için kötü amaçlı yazılımın iletişim protokollerini kullanarak ABD’deki yönlendiricileri hedeflemek için uzaktan komutlar verdiğini söyledi. FBI ayrıca her mağduru operasyon hakkında doğrudan ya da iletişim bilgileri mevcut değilse internet servis sağlayıcısı aracılığıyla bilgilendirdiğini söyledi.
Adalet Bakanlığı, “Mahkeme tarafından yetkilendirilen operasyon, KV-botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve bunların botnet ile bağlantısını kesmek için, botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi ek adımlar attı.” diye ekledi.
Yönlendiricileri botnet’ten kaldırmak için kullanılan belirtilmemiş önleme tedbirlerinin geçici olduğunu ve yeniden başlatmadan sonra hayatta kalamayacağını burada belirtmek önemlidir. Başka bir deyişle, cihazların yeniden başlatılması, onları yeniden enfeksiyona açık hale getirecektir.
“Volt Typhoon kötü amaçlı yazılımı, Çin’in, diğer şeylerin yanı sıra, iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapılara karşı operasyon öncesi keşif ve ağ istismarını gizlemesine olanak tanıdı; diğer bir deyişle, Çin’in, bu saldırıları bulmak ve hazırlamak için attığı adımlar FBI Direktörü Christopher Wray, “Bizi güvende ve refah içinde tutan sivil kritik altyapıyı yok edin veya bozun” dedi.
Ancak Çin hükümeti, Reuters ile paylaşılan bir açıklamada, saldırılarla herhangi bir ilgisi olduğunu reddetti, bunu bir “dezenformasyon kampanyası” olarak nitelendirdi ve “bilgisayar korsanlığı saldırılarına ve bilgi teknolojisinin kötüye kullanılmasına karşı kategorik bir tavır sergilediğini” belirtti.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), kaldırmayla aynı zamana denk gelen, SOHO cihaz üreticilerini geliştirme sırasında tasarım açısından güvenli bir yaklaşım benimsemeye ve yükü müşterilerden uzaklaştırmaya çağıran yeni bir kılavuz yayınladı.
Özellikle, üreticilerin SOHO yönlendirici web yönetimi arayüzlerindeki istismar edilebilir kusurları ortadan kaldırması, otomatik güncelleme yeteneklerini desteklemek için varsayılan cihaz yapılandırmalarını değiştirmesi ve güvenlik ayarlarını kaldırmak için manuel olarak geçersiz kılmayı gerektirmesi tavsiye ediliyor.
Rusya ve Çin’in ileri düzey kalıcı saldırılarında kullanılmak üzere yönlendiriciler gibi uç cihazların tehlikeye atılması, eski cihazların artık güvenlik yamaları almaması ve uç nokta algılama ve yanıt (EDR) çözümlerini desteklememesi gerçeğiyle daha da büyüyen büyüyen bir sorunu vurguluyor.
CISA, “Mevcut tehdit ortamı göz önüne alındığında uygun güvenlik kontrollerine sahip olmayan ürünlerin yaratılması kabul edilemez” dedi. “Bu vaka, tasarım açısından güvenli uygulamaların eksikliğinin hem müşterilere hem de bu durumda ülkemizin kritik altyapısına gerçek dünyada nasıl zarar verebileceğini gösteriyor.”