Çin Ulusal Bilgisayar Virüsü Acil Durum Müdahale Merkezi (CVERC), tehdit aktörünün şu şekilde olduğu yönündeki iddiaları ikiye katladı: Volt Tayfunu ABD ve müttefiklerinin uydurmasıdır.
Teşkilat, Bilgisayar Virüsü Önleme Teknolojisi Ulusal Mühendislik Laboratuvarı ile işbirliği yaparak ABD federal hükümetini, istihbarat teşkilatlarını ve Beş Göz ülkelerini Çin, Fransa, Almanya, Japonya ve dünya çapındaki internet kullanıcılarına karşı siber casusluk faaliyetleri yürütmekle suçladı. .
Ayrıca ABD’nin kendi kötü niyetli siber saldırılarını gizlemek amacıyla sahte bayrak operasyonları yürüttüğüne dair “sert deliller” bulunduğunu belirten kuruluş, “Çin siber saldırılarının sözde tehlikesini” icat ettiğini ve “büyük bir güvenlik önlemi” oluşturduğunu da sözlerine ekledi. ölçekli küresel internet gözetim ağı.”
“Ve ABD’nin tedarik zinciri saldırılarını benimsemiş olması, internet ürünlerine arka kapılar yerleştirmesi ve ‘önceden konumlandırılmış’ olması, ABD federal hükümeti tarafından yazılan, yönetilen ve uygulanan siyasi bir saçmalık olan Volt Typhoon’u tamamen çürütmüştür.”
“Guam’daki ABD askeri üssü, Volt Typhoon siber saldırılarının kurbanı olmadı, ancak Çin’e ve birçok Güneydoğu Asya ülkesine ve çalınan verilerin ana taşıyıcı merkezine karşı çok sayıda siber saldırının başlatıcısı oldu.”
CVERC tarafından Temmuz ayında yayınlanan bir önceki raporun Volt Typhoon’u ABD istihbarat teşkilatları tarafından düzenlenen bir yanlış bilgilendirme kampanyası olarak nitelendirdiğini belirtmekte fayda var.
Volt Typhoon, 2019’dan bu yana aktif olduğuna inanılan, trafiği yönlendiriciler, güvenlik duvarları ve VPN donanımını tehlikeye atan uç cihazlar üzerinden yönlendirerek kritik altyapı ağlarına gizlice yerleşen, Çin bağlantılı bir siber casusluk grubuna atanan takma addır. radarın altında uçmak.
Ağustos 2024’ün sonlarına doğru, kimlik bilgileri hırsızlığını kolaylaştırmak için VersaMem adlı bir web kabuğu sağlamak üzere Versa Director’ı (CVE-2024-39717, CVSS puanı: 6,6) etkileyen yüksek önem dereceli bir güvenlik kusurunun sıfır gün istismarıyla bağlantılıydı. rastgele kod çalıştırın.
Çin bağlantılı izinsiz giriş setleri tarafından uç cihazların kullanımı son yıllarda bir kalıp haline geldi; bazı kampanyalar tespitten kaçınmak için bunları Operasyonel Aktarma Kutuları (ORB’ler) olarak kullanıyor.
Bu durum, Fransız siber güvenlik şirketi Sekoia tarafından yakın zamanda yayınlanan ve muhtemelen Çin menşeli olan tehdit aktörlerinin, takip eden saldırılar için GobRAT ve Bulbature gibi arka kapıları dağıtmak üzere yönlendiriciler ve kameralar gibi uç cihazlara bulaşan geniş kapsamlı bir saldırı kampanyasına atfedildiği yakın tarihli bir raporla da doğrulanıyor. ilgi hedeflerine karşı.
Araştırmacılar, “Henüz açık kaynakta belgelenmemiş bir implant olan Bulbature, yalnızca son kurbanların ağlarına yönelik saldırıları iletmek için ele geçirilen uç cihazı bir ORB’ye dönüştürmek için kullanılıyor gibi görünüyor” dedi.
“ORB görevi gören, güvenliği ihlal edilmiş uç cihazlardan oluşan bu mimari, bir operatörün dünya çapında nihai hedeflere yakın saldırgan siber operasyonlar yürütmesine ve isteğe bağlı proxy tünelleri oluşturarak konumunu gizlemesine olanak tanıyor.”
En son 59 sayfalık belgede Çinli yetkililer, ABD, Avrupa ve Asya’dan 50’den fazla güvenlik uzmanının CVERC’ye ulaştığını ve Volt Typhoon hakkındaki “ABD’nin yanlış anlatısı” ve bu olayla bağlantılı kanıt eksikliğiyle ilgili endişelerini dile getirdiğini söyledi. Çin’e yönelik tehdit aktörü
Ancak CVERC bu uzmanların isimlerini veya hipotezi destekleme nedenlerini açıklamadı. Ayrıca, ABD istihbarat teşkilatlarının, atıf çabalarını karıştırmak amacıyla en geç 2015 yılında Marble adında gizli bir araç seti oluşturduğu da belirtildi.
“Araç seti, siber silah geliştiricilerinin program kodundaki çeşitli tanımlanabilir özellikleri gizlemelerine ve siber silah geliştiricilerinin ‘parmak izlerini’ etkili bir şekilde ‘silmelerine’ yardımcı olmak için diğer siber silah geliştirme projeleriyle entegre edilebilecek bir araç çerçevesidir.” dedi.
“Dahası, çerçevenin Çince, Rusça, Korece, Farsça ve Arapça gibi diğer dillere dizeler eklemek gibi daha ‘utanmaz’ bir işlevi var; bu açıkça araştırmacıları yanıltmayı ve Çin, Rusya, Kuzey Kore, İran’ı çerçevelemeyi amaçlıyor. ve Arap ülkeleri.”
Rapor ayrıca ABD’yi, Atlantik ve Pasifik’teki fiber optik kabloları kontrol etmek için “internetin yapımında doğuştan gelen teknolojik avantajlara ve jeolojik avantajlara” güvenmekle ve bunları internet kullanıcılarının “ayrım gözetmeden izlenmesi” için kullanmakla suçlama fırsatını da kullanıyor. dünya çapında.
Ayrıca Microsoft ve CrowdStrike gibi şirketlerin, tehdit faaliyeti grupları için “tayfun”, “panda” ve “ejderha” gibi “bariz jeopolitik çağrışımlar” içeren “saçma” takma adlar vermeye başvurduğu da iddia edildi.
Raporda, “Bir kez daha, bu alanda kapsamlı uluslararası işbirliği çağrısında bulunmak istiyoruz” denildi. “Ayrıca siber güvenlik şirketleri ve araştırma kurumları, siber tehditlerle mücadele teknolojisi araştırmalarına ve kullanıcılar için daha iyi ürün ve hizmetlere odaklanmalıdır.”