Çin’in ‘Volt Tayfunu’yla Bağlantılı Yeni 0 Günlük Saldırılar – Krebs on Security


Kötü niyetli bilgisayar korsanları, sıfır günlük bir güvenlik açığından yararlanıyor Versa Yönetmenbirçok İnternet ve BT servis sağlayıcısı tarafından kullanılan bir yazılım ürünüdür. Araştırmacılar, etkinliğin şuna bağlı olduğuna inanıyor: Volt TayfunuÇin’in kritik ABD ağlarına sızmayı ve Çin ile gelecekte yaşanabilecek herhangi bir silahlı çatışmada ABD ile Asya arasındaki iletişimi kesintiye uğratma yeteneğinin temellerini atmayı amaçlayan bir Çin siber casusluk grubudur.

Resim: Shutterstock.com

Versa Director sistemleri, öncelikli olarak İnternet servis sağlayıcıları (İSS’ler) ve aynı anda birçok küçük ve orta ölçekli işletmenin BT ihtiyaçlarını karşılayan yönetilen servis sağlayıcıları (MSP’ler) tarafından kullanılır. 26 Ağustos’ta yayınlanan bir güvenlik duyurusunda Versa, müşterilerini güvenlik açığı için bir yama (CVE-2024-39717) dağıtmaya çağırdı; şirket bunun düzeltildiğini söyledi Versa Yönetmen 22.1.4 veya daha sonra.

Versa, bu zayıflığın saldırganların seçtikleri bir dosyayı savunmasız sistemlere yüklemelerine izin verdiğini söyledi. Tavsiye, suçun çoğunu “sistem güçlendirme ve güvenlik duvarı yönergelerini uygulamaktan aciz olan… tehdit aktörlerine ilk erişimi sağlayan bir yönetim portunu internette açıkta bırakan” Versa müşterilerine yükledi.

Versa’nın duyurusunda sıfırıncı gün açığını nasıl öğrendiği belirtilmiyor, ancak mitre.org’daki güvenlik açığı listesinde “üçüncü taraf bir sağlayıcının omurga telemetri gözlemlerine dayanan başka raporlar da var, ancak bunlar şu ana kadar doğrulanmadı” ifadesi yer alıyor.

Bu üçüncü taraf raporları Haziran 2024’ün sonlarında geldi Michael Horkakıdemli bilgi güvenliği mühendisi Siyah Lotus Laboratuvarlarıgüvenlik araştırma kolu Lumen TeknolojileriKüresel internetin en büyük omurgalarından birini işleten .

Horka, KrebsOnSecurity ile yaptığı röportajda, Black Lotus Labs’ın ISP ve MSP sektörlerinde dört ABD’li ve bir ABD’li olmayan mağdura ait Versa Director sistemlerinde web tabanlı bir arka kapı tespit ettiğini, bilinen en eski istismar faaliyetinin 12 Haziran 2024’te bir ABD’li ISP’de gerçekleştiğini söyledi.

Horka bugün yayınlanan bir blog yazısında, “Bu durum, büyük ölçekte ağ altyapısını görüntülemek veya kontrol etmek ya da ilgi duydukları ek (veya alt akış) ağlara geçiş yapmak isteyen gelişmiş kalıcı tehdit (APT) aktörleri için Versa Director’ı kazançlı bir hedef haline getiriyor” diye yazdı.

Black Lotus Labs, Volt Typhoon’un ihlallerden sorumlu olduğuna “orta” bir güvenle yaklaştığını belirterek, saldırıların Çin devlet destekli casusluk grubunun ayırt edici özelliklerini taşıdığını, BT altyapı sağlayıcılarını hedef alan sıfırıncı gün saldırıları ve yalnızca bellekte çalışan Java tabanlı arka kapılar içerdiğini belirtti.

Mayıs 2023’te, Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI) ve Siber Güvenlik Altyapı Güvenlik Ajansı (CISA), Volt Typhoon olarak da bilinen “Volt Typhoon” hakkında ortak bir uyarı (PDF) yayınladı.Bronz Siluet” Ve “Sinsi BoğaGrubun faaliyetlerini gizlemek için küçük ofis/ev ofisi (SOHO) ağ cihazlarını nasıl kullandığını anlatan “” başlıklı yazı.

Aralık 2023’ün başlarında Black Lotus Labs bulgularını yayınladıKV-botnet“Volt Typhoon da dahil olmak üzere çeşitli Çin devlet destekli bilgisayar korsanlığı gruplarını destekleyen gizli bir veri aktarım ağı oluşturmak için birbirine zincirlenmiş binlerce tehlikeye atılmış SOHO yönlendiricisi”.

Ocak 2024’te, ABD Adalet Bakanlığı FBI’ın, Black Lotus Labs’ın Aralık ayındaki raporunu yayınlamasından kısa bir süre önce KV botnet’ini mahkeme onayıyla çökerttiğini açıkladı.

Şubat 2024’te CISA, FBI ve NSA’ya katılarak Volt Typhoon’un kıtalararası ve kıtalararası ABD ile Guam da dahil olmak üzere topraklarındaki (öncelikle iletişim, enerji, ulaşım sistemleri ve su ve atık su sektörlerindeki) birden fazla kritik altyapı kuruluşunun BT ortamlarını tehlikeye attığı konusunda uyardı.

“Volt Typhoon’un hedef seçimi ve davranış biçimi, geleneksel siber casusluk veya istihbarat toplama operasyonlarıyla tutarlı değildir ve ABD yazarlık ajansları, Volt Typhoon aktörlerinin OT’ye yatay hareketi sağlamak için kendilerini BT ağlarında önceden konumlandırdıklarını yüksek bir güvenle değerlendirmektedir. [operational technology] varlıkların işlevleri aksatacak şekilde kullanılması” uyarısı yapıldı.

FBI Direktörü, Nisan ayında Vanderbilt Üniversitesi’nde yaptığı bir konuşmada Christopher Wray Çin’in “istediği zaman kritik altyapımıza fiziksel olarak zarar verme yeteneği” geliştirdiğini ve Çin’in planının “panik yaratmak için sivil altyapıya darbe indirmek” olduğunu söyledi.

Ryan İngilizceLumen’de bilgi güvenliği mühendisi olan , işvereninin Versa’nın güvenlik danışmanlığında en azından onurlu bir şekilde anılmamasının hayal kırıklığı yarattığını söyledi. Ancak artık bu saldırıya maruz kalan çok daha az Versa sistemi olmasından memnun olduğunu söyledi.

English, “Lumen son dokuz haftadır liderleriyle çok yakın bir ilişki içindeydi ve bu durumu hafifletmelerine yardımcı olma hedefi vardı,” dedi. “Onlara yol boyunca elimizden gelen her şeyi verdik, bu yüzden sadece üçüncü taraf olarak anılmak biraz can sıkıcı.”



Source link