Altı ABD hükümet kurumu, Volt Typhoon tehdit grubundan saldırganların ABD altyapısına yönelik “yıkıcı veya yıkıcı” saldırılar için kendilerini “önceden konumlandırmaya” çalıştıkları konusunda uyarmak için üç uluslararası ortakla bir araya geldi.
Siber ve Altyapı Güvenlik Ajansı’nın (CISA) bir raporunda, Çin devleti destekli tehdit grubunun halihazırda iletişim, enerji, ulaşım, su ve atık su sektörlerindeki sistemleri tehlikeye attığı belirtildi.
Yeni uyarı, ABD’nin Volt Typhoon operasyonunu kesintiye uğrattığını duyurmasından günler sonra geldi.
Müdahaleye öncülük eden ABD kurumları (CISA, FBI ve Ulusal Güvenlik Ajansı), Volt Typhoon aktörlerinin bazı hedeflere “en az beş yıl boyunca” erişim sağladıklarına dair belirtiler gördüklerini söyledi.
Saldırganlar, hedefin ortamını incelemek için “kapsamlı sömürü öncesi keşif” yaparak “taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) kurbanın ortamına göre uyarlamalarına” olanak tanır; ve devam eden kaynakları, ilk uzlaşmadan sonra bile zaman içinde kalıcılığı sürdürmek ve hedef ortamı anlamak için ayırın.”
Ajanslar, kuruluşların bu “toprakla yaşama” tekniklerini nasıl azaltabileceğini açıklayan ayrı bir belge yayınladı.
“Gizliliğe ve operasyonel güvenliğe güçlü bir şekilde odaklanmaları, uzun vadeli, keşfedilmemiş kalıcılığı sürdürmelerine olanak tanıyor. Ayrıca, Volt Typhoon’un operasyonel güvenliği, tehlikeye atılan ortamdaki eylemlerini gizlemek için hedeflenen günlüklerin silinmesiyle artırıldı.”
Odak noktası saldırı gerçekleştirmek yerine erişimi sürdürmek olduğu için kurumlar, saldırganların Kuzey Amerika ile Çin arasında büyük bir çatışma çıkana kadar tespit edilmekten kaçınmayı planladıklarına ve bu noktada erişimlerini istismar edecek konumda olacaklarına inanıyor.
Bu, hedef kuruluşların günlük kaydına prim katıyor: Azaltma tavsiyesindeki en önemli tavsiyelerden biri, kuruluşların “davranış analitiğini, anormallik tespitini ve proaktif avcılığı mümkün kılmak için” bant dışı bir ortamda tuttukları kapsamlı günlükleri toplamasıdır.
Rapora ABD’nin önde gelen üç kurumunun yanı sıra ABD Enerji Bakanlığı, Çevre Koruma Ajansı ve Ulaştırma Güvenliği İdaresi’nin yanı sıra Kanada (Kanada Siber Güvenlik Merkezi), Birleşik Krallık’tan (Ulusal Siber Güvenlik Merkezi) uluslararası ortaklar da rapora katkıda bulundu. Güvenlik Merkezi), Yeni Zelanda (Ulusal Siber Güvenlik Merkezi) ve Avustralya (Avustralya Sinyaller Müdürlüğü).