En ünlüsü Volt Typhoon olarak bilinen Çin devleti tehdit aktörü, Şubat 2024’ün başında ABD liderliğindeki bir yayından kaldırma işleminde botnet altyapısının bozulmasının ardından önemli bir geri dönüş gerçekleştiriyor.
Volt Typhoon’un kötü amaçlı bot ağı, kullanım ömrü sonu (EOL) durumuna ulaşan ve bu nedenle artık güvenlik güncellemeleri almayan yüzlerce Cisco ve Netgear küçük ve ev ofisi (SOHO) yönlendiricisinden oluşuyordu.
Tehdit aktörü, bu cihazlara KV Botnet kötü amaçlı yazılım bulaştırdı ve bunları, ABD ve diğer yerlerdeki kritik ulusal altyapı (CNI) operasyonlarını hedef alan takip eden saldırıların kökenlerini gizlemek için kullandı.
Şimdi, dokuz ay sonra, SecurityScorecard’ın tehdit analistleri, Volt Typhoon’un yalnızca işe geri dönmekle kalmayıp, aynı zamanda “her zamankinden daha sofistike ve kararlı” olduğuna dair işaretler gözlemlediklerini söylüyor.
SecurityScorecard’ın Strike ekibi, kuruluşun daha geniş risk yönetimi altyapısından toplanan milyonlarca veri noktasını inceliyor ve yayından kaldırmanın ardından yaralarını sardıktan sonra artık uyum sağladığını ve araştırmaya başladığını belirledi.
“Saldırı Ekibi’nin keşifleri Volt Typhoon’un oluşturduğu giderek büyüyen tehdidin altını çiziyor. Botnet yayıldıkça ve taktikleri derinleştikçe, hükümetler ve şirketlerin eski sistemlerdeki, genel bulut altyapılarındaki ve üçüncü taraf ağlarındaki zayıflıkları acilen ele alması gerekiyor,” dedi SecurityScorecard tehdit araştırması ve istihbarattan sorumlu kıdemli başkan yardımcısı Ryan Sherstobitoff.
“Volt Typhoon hem dayanıklı bir botnet hem de bir uyarıdır. Kararlı bir eylem olmadan bu sessiz tehdit, çözülmemiş güvenlik açıklarından kaynaklanan kritik bir altyapı krizini tetikleyebilir.”
Son aylarda Volt Typhoon, Digital Ocean, Quadranet ve Vultr gibi barındırma hizmetlerini kullanarak yeni komuta sunucuları kurdu ve yetkililerden kaçmak için yeni SSL sertifikaları kaydettirdi.
Grup, Cisco RV320/325 ve Netgear ProSafe yönlendiricilerindeki eski güvenlik açıklarından yararlanmaya devam etti. Sherstobitoff, operasyonun yalnızca bir ay içinde dünyanın görünür Cisco RV320/325’lerinin %30’unu tehlikeye atabildiğini ortaya çıkardı.
“Saldırı Ekibi’nin derin araştırması, Volt Typhoon’un güvenliği ihlal edilmiş SOHO ve EOL cihazları üzerine kurulu karmaşık ağını ortaya çıkardı. Bu grup, küresel ölçekte modası geçmiş yönlendiricileri silah haline getirerek onların varlığını maskeleyen ve tespit edilmesini son derece zorlaştıran şaşırtmaca katmanları ördü” dedi Sherstobitoff.
“Bu ele geçirilen yönlendiriciler dijital bukalemunlar gibi davranarak normal ağ trafiğini taklit ederken verilerin gizli hareketini kolaylaştırıyor. Analistler, bu cihazlarda Mirai’ye benzer, gizli bağlantılar kurmak ve 8443 üzerinden bağlantı noktası yönlendirme yoluyla iletişim kurmak üzere tasarlanmış MIPS tabanlı kötü amaçlı yazılım tespit etti. Bu yöntem, Volt Typhoon’un komuta operasyonlarını deneyimli siber güvenlik ekipleri için bile radardan uzak tutuyor.
“Fy.sh gibi web kabukları, yönlendiricilere stratejik olarak yerleştirilmiştir ve Volt Typhoon’un kalıcı erişimi sürdürmesine ve uzaktan kontrolü güvenli hale getirmesine olanak tanır. Saldırı sadece saklanmakla kalmıyor, rutin ağ operasyonlarına da sorunsuz bir şekilde entegre oluyor. Sonuç? Özellikle hükümet ve kritik altyapı sektörlerinde, kötü niyetli faaliyetleri kamufle eden ve her türlü temizleme çabasını zorlaştıran dayanıklı bir dayanak noktasıdır” dedi.
Eylül 2024 itibarıyla, yeni botnet kümesinin trafiği dünya çapında yönlendirdiği gözlemlendi; bu trafiğin çoğu, Asya-Pasifik ile ABD arasında sessiz bir köprü görevi gören, güvenliği ihlal edilmiş bir sanal özel ağ (VPN) cihazı üzerinden geçiyor.
Bu cihazın Avustralya’nın Queensland kentinin yaklaşık 750 mil kuzeybatısında, Güney Pasifik Okyanusu’ndaki bir Fransız adası olan Yeni Kaledonya’da bir yere yerleştirildiği belirlendi. Merkezini Fransa’nın bir parçası olarak kabul edilen bir konuma yerleştirerek – Yeni Kaledonya’nın yasal statüsüne rağmen onun türünden Denizaşırı topraklar hem karmaşık hem de tartışmalıdır; Volt Typhoon ek incelemelerden kaçınabilir ve botnet’inin erişim alanını daha da genişletebilir.
Sherstobitoff, CNI operatörlerinin ekonomik istikrardaki temel rolleri sayesinde Çin devleti destekli saldırganlar için hâlâ çekici bir hedef teşkil ettiğini, sektörün eski teknolojiye olan bağımlılığının ise aksama için “kusursuz bir fırtına” yarattığını belirtti.
Birçok üçüncü taraf teknoloji tedarikçisinin sağlam savunmalara sahip olmadığını ve Volt Typhoon gibi gelişmiş kalıcı tehdit (APT) aktörlerine kolay giriş noktaları sunduğunu ekledi.