ABD hükümeti, bilinen Çinli tehdit aktörü Volt Typhoon tarafından oluşturulan ve Amerika ve diğer ülkelerdeki kritik ulusal altyapı (CNI) kuruluşlarına yönelik siber saldırıların yolunu açan bir botnet’i bozmayı başardı.
ABD Halkla İlişkiler Ofisi tarafından yayınlanan bir güvenlik uyarısı, Çin Halk Cumhuriyeti (PRC) sponsorluğundaki bir bilgisayar korsanlığı grubu olan Volt Typhoon’un, ABD çapında yüzlerce Cisco ve Netgear markalı küçük ofis/ev ofisi yönlendiricisini ele geçirdiğini doğruladı. botnet.
Yönlendiricilere, uyarıda belirtilen KV Botnet kötü amaçlı yazılımının bulaştığı, ÇHC’nin ABD’de ve denizaşırı ülkelerde faaliyet gösteren CNI kuruluşlarına karşı devam eden saldırıların kaynağı olarak kendisini gizlemesine olanak tanıdığı belirtildi.
Mayıs 2025’te Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), CNI operatörlerini Volt Typhoon korsanlarının sistemlerine erişmesini ve sistemlerde saklanmasını engellemek için önleyici tedbirler almaları konusunda uyaran kılavuz yayınlayan birkaç uluslararası istihbarat teşkilatı arasında yer aldı.
“KV Botnet’i oluşturan yönlendiricilerin büyük çoğunluğu, ‘kullanım ömrü sonu’ durumuna ulaştıkları için savunmasız olan Cisco ve Netgear yönlendiricileriydi… [and] ABD hükümetinin güvenlik uyarısında, artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmediği belirtildi.
Bu yayından kaldırma işlemi, kötü amaçlı yazılımın etkilenen yönlendiricilerden silinmesine yönelik ABD mahkemesi tarafından yetkilendirilen ve Aralık 2023’te yeşil ışık yakılan bir operasyonun sonucudur. Mahkemenin müdahalesi ayrıca diğer cihazların da botnet ile iletişim kurmasını engellemek için ek adımların atılmasına neden oldu.
FBI direktörü Christopher Wray, “Volt Typhoon kötü amaçlı yazılımı Çin’in iletişim, enerji, ulaşım ve su sektörlerimizi hedef alırken gizlenmesine olanak sağladı” dedi.
“Onların önceden konumlandırılması, fiziksel güvenliğimize yönelik, FBI’ın hoşgörülmeyeceği, potansiyel bir gerçek dünya tehdidi oluşturuyor. Ortaklarımızın Amerikalıları tehdit ettiğini gördüğümüzde ÇHC’yi sert ve erkenden vurmak için ortaklarımızla birlikte çalışmaya devam edeceğiz.”
Başsavcı Merrick Garland, eylemin Adalet Bakanlığı’nın ülkenin CNI’sini korumaya yönelik proaktif bir yaklaşım benimseme konusundaki kararlılığının bir göstergesi olduğunu söyledi.
Garland şöyle devam etti: “ABD, yabancı hükümetler tarafından desteklenenler de dahil olmak üzere, Amerikan halkının güvenliğini baltalayan kötü niyetli siber operasyonları ortadan kaldırmaya devam edecektir.”
Başsavcı yardımcısı Lisa Monaco, botnet’i ülke çapındaki yüzlerce yönlendiriciden silme kararının, Adalet Bakanlığı’nın “tüm araçlarını ulusal güvenlik tehditlerini gerçek zamanlı olarak engellemek için nasıl kullandığının” kanıtı olduğunu söyledi.
O ekledi: “[It] aynı zamanda özel sektörle olan kritik ortaklığımızı da vurguluyor; mağdurların raporlanması, ev ofislerinden en kritik altyapımıza kadar siber suçlarla mücadelede kilit önem taşıyor.”
Google’ın sahibi olduğu siber tehdit istihbarat şirketi Mandiant’ın istihbarattan sorumlu başkan yardımcısı Sandra Joyce, Volt Typhoon’un yöntemlerinin onun aktivitesinin tespit edilmesinin çok zor olabileceği anlamına geldiğini söyledi.
Joyce, “Normal ağ faaliyetlerine uyum sağlamak ve sürekli olarak faaliyetlerinin kaynağını değiştirmek için ele geçirilmiş sistemlerden yararlanıyorlar” dedi. “Alarmları tetikleyebilecek ve bize tarayabileceğimiz sağlam bir şey verebilecek kötü amaçlı yazılımların kullanımını bile engelliyorlar. Bunun gibi etkinliklerin takibi son derece zordur ancak imkansız değildir.”