Devlet destekli Çinli bir casusluk aktörü olan Volt Typhoon, ABD ve müttefikleri tarafından yayınlanan ortak bir Siber Güvenlik Danışma Belgesi’nde (CSA) ABD altyapı ağlarına sızmayı başardı. Ancak Çin, danışma belgesini “toplu bir dezenformasyon kampanyası” olarak nitelendiren iddiayı reddetti.
Bir Microsoft güvenlik raporuna göre, 2021’in ortalarından beri aktif olan Çin casusluk grubu Guam’daki kritik altyapı kuruluşlarını ve ABD genelindeki ağları hedef alan birkaç siber saldırı gerçekleştirdi.
Esas olarak bilgi toplama ve casusluk üzerine çalışan Volt Typhoon kampanyası, Asya ile Amerika Birleşik Devletleri arasındaki iletişim altyapısını ciddi şekilde etkileyebilecek yetenekler geliştirmek için kendini geliştiriyor.
Ortak danışma belgesi, kuruluşları devlet destekli Çinli bilgisayar korsanları tarafından kullanılan faaliyetler ve teknikler ve bunların dünya çapında nasıl uygulanabileceği konusunda uyarmayı amaçlıyor.
Ortak danışmanlığın yazar kurumları arasında Amerika Birleşik Devletleri NSA, CISA, FBI, Avustralya’dan ACSC, Kanada’dan CCCS, Yeni Zelanda’dan NCSC-NZ ve Birleşik Krallık’tan NCSC-UK bulunmaktadır.
Çin siber casusluğu güvenlik araştırmacıları tarafından tespit edildi
Siber güvenlik şirketi tarafından yayınlanan bir rapora göre, Secureworks Karşı Tehdit Birimi (CTU) araştırmacıları tarafından “BRONZE SILHOUETTE” olarak adlandırılan Volt Typhoon, meşru ağ etkinliğiyle uyum sağlamak ve tespit edilmemek için operasyonlarını dikkatle yürütüyor.
“Gizlenen bir casusu düşünün, amaçları aralarına karışmak ve fark edilmeden gitmektir. Secureworks Kıdemli Danışman Bilgi Güvenliği Araştırması ve Çin tematik lideri Marc Burnard, “Bu, Bronze Silhouette’in olağan ağ etkinliğini taklit ederek tam olarak yaptığı şeydir” dedi.
“Bu, bir düzeyde operasyonel olgunluk ve grubun izinsiz giriş faaliyetinin tespit edilmesi ve atfedilmesi olasılığını azaltmak için tasarlanmış bir çalışma tarzına bağlılığı gösteriyor.”
Burnard, Çin’in “siber casusluk konusunda oldukça yetenekli” olduğunun bilindiğini ifade etti.
ABD Adalet Bakanlığı’nın siber casusluk faaliyetine karıştığı iddia edilen Çinli vatandaşlara yönelik bir dizi yüksek profilli iddianamesi ve son zamanlarda güvenlik sağlayıcıları tarafından bu tür faaliyetlerin kamuoyuna ifşa edilmesi Çin hükümetine atfedildi.
Burnard’a göre bu, siber casusluk faaliyetinin kamuoyu tarafından incelenmesinden kaçınmak için Çin Halk Cumhuriyeti içindeki liderlerin artan baskısına neden olmuş olabilir.
ÇHC tarafından Volt Typhoon’un faaliyetleri: LotL yolu
Dosyasız kötü amaçlı yazılım veya LOLbin’ler kullanan ÇHC’nin Volt Typhoon’u, siber saldırılara neden olmak için sistemdeki yasal yazılımları kullanmak için karadan yaşayan (LotL) tekniğini ve prosedürünü izledi.
Bu, Volt Typhoon’un tespitten etkili bir şekilde kaçmasına ve saldırının büyük bir bölümünde meşru olarak kullanıcılar arasında karışmasına izin verdi.
Danışman, “Aktör, komuta ve kontrol (C2) trafiğinin çoğunun kurbanın coğrafi bölgesindeki yerel ISP’lerden çıkmasını sağlayarak faaliyetlerini gizlemek için güvenliği ihlal edilmiş küçük ofis/ev ofis (SOHO) ağ cihazlarını ara altyapı olarak kullandı.” kayıt edilmiş.
Volt Typhoon tarafından kullanılan araçlar
Volt Typhoon tarafından kullanılan tekniğe değinen danışma belgesi, “Aktör, Earthworm ve sabit kodlu C2 geri aramalarına sahip özel bir Fast Reverse Proxy (FRP) istemcisi kullandı” dedi. [T1090] 8080, 8443, 8043, 8000 ve 10443 bağlantı noktalarına.” Grup, isco_up.exe, cl64.exe, vm3dservice.exe, watchdogd.exe, Win.exe, WmiPreSV.exe ve WmiPrvSE.exe gibi çeşitli dosya adlarını kullandı.
Kötü amaçlı etkinlikler için kullanılan komutlar, sonuçları bulmak için yönetici oturum açma kimlik bilgilerine dayanmıyordu.
Bir Windows Yönetim Araçları Komut Satırı sorgusu kullandılar ve yerel ana bilgisayar, sürücü harfi, dosya sistemi ve daha fazlası hakkında depolama verileri topladılar.
Tehdit aktörleri tarafından kullanılan komut — c md.exe /C “wmic path win32_logicaldisk get caption,filesystem,freespace,size,volumename”
Sıfır Güven modeli önerilir
Dikkatli olmak için, ÇHC’nin Volt Typhoon grubuyla ilgili tavsiyesinde, küçük ve ev ofis kullanıcılarının ağ yönetimi arabirimlerinin internete maruz kaldığına dikkat etmeleri gerektiğinden bahsediliyor.
Bu, yetkisiz erişimi engellemek ve bunların yeniden yönlendirme olarak yeniden tasarlanmalarını önlemek içindir. Erişim yönetimi için sıfır güven ilkesine gidilmesi de önerildi.
Alanın tehlikeye girme durumu hakkında ayrıntılı bilgi veren danışma belgesi, “Bir aktör ntds.dit ve SYSTEM kayıt defteri kovanını sızdırabilirse, aktör genellikle için parola karmalarını kırabileceğinden, tüm etki alanının güvenliği ihlal edilmiş olarak kabul edilmelidir. etki alanı kullanıcı hesapları, kendi hesaplarını oluşturma ve/veya yetkisiz sistemleri etki alanına katma.
Volt Typhoon ve benzeri grupların arka kapılar oluşturmaması ve güvenlik duvarı politikalarını atlamaması için kullanıcılardan bağlantı noktası proxy kullanımını bir zaman sınırıyla sınırlamaları istendi.
Volt Typhoon’un nerede olduğu
2021’in ortalarından beri aktif olan Volt Typhoon, Çin’de bulunuyor ve hedeflere karşı casusluk yapıyor. Bir Microsoft raporunda, “Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını kesintiye uğratabilecek yetenekler geliştirmeyi amaçladığını orta düzeyde bir güvenle değerlendiriyor.”
Bununla birlikte, grubun hedefleri arasında Guam ve diğer ABD ülkelerindeki kritik altyapı ile sınırlı değildir. Ayrıca diğerleri arasında hükümet, iletişim, kamu hizmeti, imalat, inşaat, denizcilik ve eğitim gibi sektörlere de saldırdılar.
Volt Typhoon’un saldırı vektörünü özetleyen Microsoft raporu, grubun internete bakan Fortinet FortiGuard cihazları aracılığıyla kuruluşlara ilk erişim elde ettiğini belirtti. Kimlik bilgilerini daha fazla kötüye kullanmak için çıkarırlar ve uzlaşma sonrası faaliyetlerinde nadiren kötü amaçlı yazılım kullanırlar.
Genellikle komut satırı aracı kullanılarak bulundular. Ntdsutil.exe ile yeni etki alanı denetleyicileri oluşturmak için etki alanı denetleyicilerinden yükleme medyası oluşturun.
Çin, İlgiyi Reddetti, Casusluk Suçlamalarını Reddetti
Reuters’in bildirdiğine göre, ABD ve müttefikleri tarafından yayınlanan siber güvenlik tavsiyesine tepki gösteren Çin hükümeti, uyarının ülkeye karşı “toplu bir dezenformasyon kampanyası” olduğunu belirterek casusluk suçlamalarını reddetti.
Çin dışişleri bakanlığı sözcüsü Mao Ning iddiaları reddederek, ABD’nin “bilgisayar korsanlığı imparatorluğu” olduğunu ve raporun amacının ABD ile ABD arasındaki küresel bir gözetleme düzenlemesi olan “Beş Göz”ü desteklemek olduğunu söyledi. Rapora göre Birleşik Krallık, Kanada, Avustralya ve Yeni Zelanda.
Amerika Birleşik Devletleri Siber Savunma Teşkilatları ekibinden yanıt
CISA Direktörü Jen Easterly, ABD’yi hedef alan Çinli tehdit aktörlerine hitaben şunları söyledi: “Çin, dünyanın dört bir yanındaki kuruluşlardan fikri mülkiyet ve hassas verileri çalmak için yıllardır saldırgan siber operasyonlar yürütüyor. Bugünkü danışma belgesi, Çin’in gelişmiş araçları kullanmaya devam ettiğini vurguluyor. ülkemizin kritik altyapısını hedeflemek ve ağ savunucularına bu kötü niyetli etkinliğin nasıl tespit edilip hafifletileceği konusunda önemli bilgiler veriyor.”
“Tüm kuruluşları danışma belgesini gözden geçirmeye, riski azaltmak için harekete geçmeye ve herhangi bir anormal faaliyet kanıtını bildirmeye teşvik ediyoruz. Kritik altyapımızın güvenliğini ve dayanıklılığını sağlamak için birlikte çalışmalıyız,” diye sözlerini tamamladı Jen.
Çin sızması ve Amerika Birleşik Devletleri ve diğer ülkeleri hedef alan saldırılarla ilgili bir başka CISA tavsiyesi, Çin’in şu anda en aktif siber casusluk tehdidi olduğunu belirtti. Danışma belgesinde, “Çin, petrol ve gaz boru hatları ile raylı sistemler de dahil olmak üzere ABD’deki kritik altyapı hizmetlerini kesintiye uğratabilecek siber saldırılar başlatma yeteneğine neredeyse kesinlikle sahiptir” denildi.
Microsoft tarafından sunulan hafifletme yardımı
Microsoft, hesaplarının ve erişimlerinin daha fazla kötüye kullanılmasını önlemek için kullanıcıları parolalarını ve diğer oturum açma kimlik bilgilerini derhal değiştirmeye çağırdı. Volt Typhoon saldırılarına karşı savunma yapmak için çok faktörlü kimlik doğrulamayı seçmeniz önerilir.
Microsoft Defender Virüsten Koruma’da bulutla sağlanan korumayı açmak, güvenliği büyük ölçüde artırabilir. Ayrıca, uç nokta algılama ve yanıtının (EDR) blok modunda çalıştırılması da teşvik edildi, böylece Microsoft Defender, sistemdeki diğer virüsten koruma araçlarının etkin olmadığı durumlarda bile kötü amaçlı yapıları engelleyebilir.