Dalış Özeti:
- FBI, 1000’den fazla kişiyi tehlikeye atan devasa bir devlet bağlantılı botnet’i engelledi. 260.000 cihaz ABD ve diğer ülkelerdeki kritik altyapı sağlayıcılarını hacklemek için dünya çapında FBI Direktörü Christopher Wray Çarşamba günü yapılan bir konuşmada duyuruldu Aspen Siber Zirvesi sırasında.
- Botnet şuydu: Flax Typhoon olarak bilinen bir tehdit grubuyla bağlantılı2021’den bu yana Tayvan, ABD ve diğer ülkelerdeki kritik üretim, BT, telekom, hükümet ve diğer kuruluşları hedef alan bir saldırı başlattı.
- Botnet, binlerce küçük ofis/ev ofis yönlendiricisini, dijital video kamerayı, internet protokol kamerasını ve ağa bağlı depolama aygıtını tehlikeye attı. Bir tavsiyeye göre, tehlikeye atılan aygıtların neredeyse yarısı ABD’de bulunuyordu. FBI, Siber Ulusal Görev Gücü ve Ulusal Güvenlik Ajansı.
Dalış İçgörüsü:
Botnet, yaygın olarak kullanılan IoT cihazlarındaki zayıflıkları istismar ederek ABD’nin kritik altyapısına yönelik devam eden bir tehdidi vurguluyor. Kampanya, bu cihazları istismar etmek ve çeşitli kritik altyapı sağlayıcılarını DDoS saldırıları, veri hırsızlığı ve diğer kötü amaçlı faaliyetlerle hedeflemek için bir Mirai kötü amaçlı yazılım çeşidi kullandı.
Lumen Technologies’in tehdit istihbarat kolu olan Black Lotus Labs’tan araştırmacılar, Çarşamba günü Flax Typhoon operasyonlarının çoğunu ana hatlarıyla açıklayan bir rapor yayınladı.
The Black Lotus Labs raporu Raptor Train adını verdiği botnetin, büyük ölçekli DDoS saldırılarına olanak sağlamak için geliştirildiğini ve Ivanti Connect Secure cihazları ve Atlassian Confluence sunucularını içeren olası istismar girişimlerine dair kanıtlara sahip olduğunu söyledi.
Federal yetkililer, Flax Typhoon hacker’larının Pekin merkezli halka açık bir şirket olan Integrity Technology Group aracılığıyla faaliyet gösterdiğini söyledi. Şirket, müşterilere çevrimiçi bir uygulamaya erişme ve hedeflenen cihazları kontrol etme ve oturum açma olanağı sağladı.
“Şimdi bunu başka bir başarılı kesinti olarak görüyorum, ancak yanılmayın, bu çok daha uzun bir mücadelenin sadece bir raundu,” dedi Wray operasyon hakkında. “Çin hükümeti, kendi elleriyle veya vekilleri aracılığıyla gizleyerek, kuruluşlarınızı ve kritik altyapımızı hedef almaya devam edecek.”
FBI yetkilileri kaldırma operasyonunun ana hatlarını çizen detaylar Kaliforniya merkezli bir firmanın Flax Typhoon ile ilişkili IP adreslerine kadar uzanan tehdit aktivitesi bildirdiğini belirten bir yeminli ifadede. Bilgisayar korsanları FBI operasyonunu bir DDoS saldırısıyla engellemeye çalıştılar ancak başarısız oldular.
Federal yetkililer, kullanıcıları kullanılmayan portları ve servisleri devre dışı bırakmaya, daha karmaşık parolalar kullanmaya, yamalar ve güvenlik yükseltmeleri uygulamaya ve kullanım ömrü sona eren ekipmanları değiştirmeye çağırdı.
Flax Typhoon botnetinin bozulması FBI’ın Ocak ayında gerçekleştirdiği bir diğer büyük operasyonun ardındanAjans, Volt Typhoon’a bağlı bir botnet’in devre dışı bırakılmasına öncülük etti.
ABD yetkilileri, Şubat ayında yapılan bir kongre oturumunda, Volt Typhoon’un Asya-Pasifik bölgesinde olası bir askeri harekatla bağlantılı olarak korku ve panik yaratmak amacıyla ABD’nin kritik altyapılarına saldırmayı amaçlayan devlet bağlantılı bir tehdit grubu olduğu konusunda uyarıda bulunmuştu.
Wray, FBI’ın bu tür kötü niyetli faaliyetleri tespit etmek ve eylemleri açığa çıkarmak için ortaklarıyla çalışmaya devam edeceğini söyledi.
Microsoft’taki araştırmacılar Ağustos 2023’te gözlemlediler Flax Typhoon kuruluşları hedefliyor Tayvan’da ve China Chopper kötü amaçlı yazılımını yükleyerek. Microsoft araştırmacıları başlangıçta şu konuda uyardı: Volt Typhoon ile bağlantılı kötü niyetli faaliyetler Mayıs 2023’te.