Devlet destekli bilgisayar korsanları olarak Rusya, İran ve Kuzey Kore adına çalışan hackerlar, yıllardır dünya çapında yıkıcı siber saldırılarla ortalığı kasıp kavurdu, Çin’in askeri ve istihbarat bilgisayar korsanları, izinsiz girişlerini casuslukla sınırlandırma konusundaki itibarlarını büyük ölçüde korudular. Ancak bu siber casuslar Amerika Birleşik Devletleri’ndeki ve özellikle Çin’in eşiğindeki bir ABD bölgesindeki kritik altyapıyı ihlal ettiğinde, casusluk, ihtilaf acil durum planlaması ve siber savaşın tırmandırılması tehlikeli bir şekilde benzer görünmeye başlar.
Çarşamba günü Microsoft, bir blog gönderisinde, 2021’den beri hem ABD eyaletlerinde hem de Guam’da iletişim de dahil olmak üzere kritik altyapı sistemlerini hedef alan geniş bir bilgisayar korsanlığı kampanyası yürüten Çin devlet destekli bilgisayar korsanlarından oluşan bir grubu izlediğini açıkladı. imalat, kamu hizmetleri, inşaat ve ulaşım.
Microsoft’un Volt Typhoon adını verdiği grubun amacı, bu kritik ağlara erişimini veri imhası veya diğer saldırgan saldırılar gerçekleştirmek için kullanmadığı düşünülürse, basitçe casusluk olabilir. Ancak Microsoft, Çin ile askeri veya diplomatik bir çatışmada kilit rol oynayabilecek Pasifik bölgesi de dahil olmak üzere grubun hedeflemesinin doğasının bu tür bir kesintiye yol açabileceği konusunda uyarıyor.
Şirketin blog gönderisinde, “Gözlemlenen davranış, tehdit aktörünün casusluk gerçekleştirmeyi ve tespit edilmeden erişimi mümkün olduğu kadar uzun süre sürdürmeyi planladığını gösteriyor.” Ancak bu ifadeyi, bilgisayar korsanlarının “gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yetenekler geliştirme peşinde olduklarına” ilişkin “ılımlı bir güvenle” bir değerlendirmeyle birleştiriyor.
Google’a ait siber güvenlik firması Mandiant, grubun izinsiz girişlerinin bir bölümünü de takip ettiğini söylüyor ve grubun kritik altyapıya odaklanması hakkında benzer bir uyarıda bulunuyor “Bir casusluk operasyonundan beklediğimiz fikri mülkiyet veya politika bilgileriyle açık bir bağlantı yok” Mandiant’ta tehdit istihbaratına başkanlık eden John Hultquist diyor. “Bu, orada olup olmadıklarını sorgulamamıza neden oluyor. Çünkü hedefler kritik. Endişemiz, kritik altyapıya odaklanmanın potansiyel yıkıcı veya yıkıcı saldırılara hazırlık olması.”
Microsoft’un blog yazısında, bilgisayar korsanlarının izinsiz girişlerinin, ağ savunucularının onları tespit edip tahliye etmelerine yardımcı olabilecek teknik ayrıntılarını sundu: Örneğin, grup, bilgisayar korsanlığını başlatmak için saldırıya uğramış yönlendiricileri, güvenlik duvarlarını ve diğer ağ “uç” cihazlarını proxy olarak kullanıyor. donanım üreticileri ASUS, Cisco, D-Link, NETGEAR ve Zyxel tarafından satılanlar dahil olmak üzere cihazları hedefleme. Grup ayrıca, zararsız gibi görünerek etkinliğinin tespit edilmesini zorlaştırmak için kendi kötü amaçlı yazılımı yerine genellikle meşru kullanıcıların güvenliği ihlal edilmiş hesaplarından sağlanan erişimi kullanır.
Secureworks’te bilgi güvenliği araştırması kıdemli danışmanı Marc Burnard, tespit edilmekten kaçınmak için bir hedefin düzenli ağ trafiğine karışmanın Volt Typhoon ve diğer Çinli aktörlerin son yıllardaki yaklaşımlarının ayırt edici özelliği olduğunu söylüyor. Microsoft ve Mandiant gibi firma da grubu izliyor ve kampanyaları gözlemliyor. Grubun casusluğunu sürdürmek için “adaptasyona amansız bir odaklanma” gösterdiğini de sözlerine ekledi.