Siber Savaş / Ulus Devlet Saldırıları , Uç Nokta Güvenliği , Dolandırıcılık Yönetimi ve Siber Suçlar
Hedefler Kritik Altyapı – Muhtemelen Siber Casusluk, Uzun Süreli Erişim
David Perera (@daveperera) •
24 Mayıs 2023
Çinli bir devlet bilgisayar korsanı, muhtemelen siber casusluk ve uzun vadeli erişim sağlama niyetiyle Guam ve Amerika Birleşik Devletleri’ndeki kritik altyapıyı hedef aldı.
Ayrıca bakınız: Müşteri Kimliğinizi Doğrulayın, Doğrulayın ve Doğrulayın
Microsoft, Çarşamba günü ABD hükümeti ve Five Eyes istihbarat paylaşım ittifakını oluşturan yakın müttefikleriyle koordineli bir açıklamada tehdit aktörüne “Volt Typhoon” adını verdi.
Microsoft, Volt Typhoon’un 2021’in ortalarından beri aktif olduğunu söylüyor. Hedeflenen kritik altyapı sektörleri arasında iletişim, bilgi teknolojisi ve devlet kurumları bulunmaktadır. Tayvan’dan uçakla sadece birkaç saat uzaklıktaki Guam, Andersen Hava Kuvvetleri Üssü de dahil olmak üzere iki büyük Amerikan askeri üssünün bulunduğu yerdir.
Tehdit istihbarat firması Mandiant, Volt Typhoon’un eylemlerini “agresif ve potansiyel olarak tehlikeli” olarak nitelendirdi, ancak izinsiz girişlerin “saldırıların yaklaşmakta olduğunu göstermediği” konusunda uyardı.
Pekin ve Washington arasındaki ilişkiler, anakara Çin’in kendi egemenliği altına girmesi gerektiğini söylediği Tayvan’a karşı artan askeri gösterileri arasında kötüleşti. Bir ABD Hava Kuvvetleri generalinin Ocak ayında astlarına Çin ile önümüzdeki iki yıl içinde savaş çıkmasını beklediğini söylediği bildirildi, ancak diğer uluslararası ilişkiler uzmanları Çin Devlet Başkanı Xi Jinping’in bir kara istilasının potansiyel ekonomik ve itibar maliyetlerinin farkında olduğunu söylüyor. Rusya’nın Ukrayna’ya boyun eğdiremediğini gözlemlemek.
Volt Typhoon, internete açık Fortinet FortiGuard cihazları aracılığıyla ilk erişimi elde ediyor (bkz: Çinli Bilgisayar Korsanları Güvenlik ve Ağ Cihazlarını Hedefliyor). Microsoft bunu, cihaz tarafından kullanılan bir Active Directory hesabına kimlik bilgilerinin çıkarılması ve ardından bu kimlik bilgileriyle ağdaki diğer cihazların kimliğini doğrulamaya çalışmak olarak tanımlar.
Bir ağın içine girdikten sonra Volt Typhoon, tespit edilmesini zorlaştırmak amacıyla güvenliği ihlal edilmiş küçük ofis veya ev ofis yönlendiricileri aracılığıyla internet trafiğini temsil eder. Şirket, yönlendirici sahiplerinin yönetim arayüzlerinin halka açık internete maruz kalmamasını sağlamaları gerektiğini söylüyor.
Microsoft ve Amerika Birleşik Devletleri ve müttefikleri, Çinli tehdit aktörünün özellikle Windows işletim sistemi bilgisayarlarında bulunan “karadan yaşayan” ikili dosyaları kullandığını söylüyor. PowerShell gibi yasal Windows yardımcı programlarının kullanılması, kötü amaçlı etkinliklerin tespit edilmesini diğerlerinden daha zor hale getirebilir. Five Eyes danışma belgesi, ağ savunucularının bu aktivite için avlanmalarına yardımcı olmak için tespit imzalarının yanı sıra Volt Typhoon komutlarının örneklerini sağlar.