Dalış Özeti:
- Avrupa ve Latin Amerika’da bu baharda karartılan, güvenliği ihlal edilmiş yönlendiricilerden yararlanan bir bilgisayar korsanlığı kampanyası yeniden faaliyete geçti ve şu anda Tayvan’daki ABD Savunma Bakanlığı’nın satın alma tesislerini ve kuruluşlarını hedef alıyor. Black Lotus Laboratuvarlarından araştırmaLumen’in güvenlik araştırma kolu.
- HiatusRAT olarak adlandırılan Mart kampanyası, çoğunlukla Avrupa ve Latin Amerika’da bulunan 100’den fazla uç yönlendiriciden yararlandı ve bu yaz Pentagon’a yapılan savunma sözleşmesi sunumlarının yanı sıra Tayvan’daki üretim hakkında bilgi toplamak için tasarlanan yeni keşif faaliyetine başladı.
- Araştırmacılara göre Savunma Bakanlığı ile iş yapan şirketlerin ağ cihazlarını HiatusRAT’ın varlığına karşı izlemesi gerekiyor. Bilgisayar korsanları, istihbarat toplamak amacıyla daha küçük firmaları ve Tayvan’ı destekleyen firmaları hedeflemeyi tercih ediyor. Yorum yapmak için Pentagon yetkililerine hemen ulaşılamadı.
Dalış Bilgisi:
Araştırmacılar, Ulusal İstihbarat Direktörü Ofisi’nin 2023 tehdit değerlendirmesine atıfta bulunarak, faaliyetin Çin Halk Cumhuriyeti’nin çıkarlarıyla tutarlı olduğunu söyledi.
Son saldırılar, aralarında Volt Typhoon’un da bulunduğu son saldırılarla bazı benzerlikler taşıyor. Ancak kümeler doğrudan örtüşmüyor ve ayrı tehdit aktörlerini içerdikleri değerlendiriliyor.
bu Volt Tayfun kampanyası Kritik altyapılara yönelik saldırılar başlatmak için ev ofis yönlendiricilerinden, güvenlik duvarlarından ve VPN’lerden yararlandı. İlk olarak Mayıs ayında açıklanan bu kampanya, ABD ile Asya-Pasifik bölgesi arasındaki iletişimi bozmak için tasarlandı.
Mart ayında açıklanan HiatusRAT kampanyası, uzaktan erişim truva atı ve hedeflenen cihazlarda paket yakalamayı sağlayan bir tcpdump çeşidi dahil olmak üzere iki kötü amaçlı ikili dosya içeriyordu. Black Lotus Labs’a göre. Mart ayındaki kampanya, kullanım ömrü dolmuş DrayTek Vigor cihazlarını kötüye kullandı.
Araştırmacılara göre yeni HiatusRAT kampanyası, mevcut ve gelecekteki askeri sözleşmeler hakkında bilgi içeren bir Savunma Bakanlığı sunucusunu hedef alıyor gibi görünüyor.
Tehdit istihbaratı direktörü Mark Dehus, “Web sitesinin sözleşme teklifleriyle ilişkili olduğu göz önüne alındığında, amacın askeri ihtiyaçlar hakkında kamuya açık bilgiler elde etmek ve Savunma Sanayii Üssü’nde yer alan kuruluşları potansiyel olarak daha sonra hedeflemek üzere aramak olduğundan şüpheleniyoruz” dedi. Lümen Siyah Lotus Laboratuvarları.
Araştırmacılara göre, gelen bağlantıların %90’ından fazlası Tayvan’dan geliyordu ve kaldıraçlı cihazlar çoğunlukla Ruckus tarafından üretilen uç cihazlardı.