Çinli Ulus Devlet Hacker’ı Cisco Router’ları İstismar Ediyor

Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Yönetişim ve Risk Yönetimi

‘Volt Typhoon’ Yenilenen Faaliyet Patlamasına Hazırlanıyor Olabilir

Prajeet Nair (@prajeetspeaks) •
12 Ocak 2024

Çin devletine ait bir bilgisayar korsanlığı grubu, Amerika Birleşik Devletleri, Birleşik Krallık ve Avustralya’daki devlet kuruluşlarını hedef almak için değiştirilen Cisco yönlendiricilerine saldırıyor.

Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu

SecurityScorecard’ın bir raporuna göre, “Volt Typhoon” olarak adlandırılan Pekinli siber casusluk korsanları, Cisco RV320 ve RV325 küçük ofis ve ev ofis yönlendiricilerinden oluşan bir botnet oluşturmak için ilk kez 2019’un başlarında açıklanan güvenlik açıklarını kullanıyor. Siber güvenlik firması, 37 günlük bir süre boyunca Bronze Silhouette olarak da bilinen Volt Typhoon’un savunmasız Cisco yönlendiricilerinin neredeyse üçte birini tehlikeye attığını gözlemlediğini söyledi.

Firma, bilgisayar korsanlığı grubunun yeni altyapı geliştirmesinin “yenilenen faaliyet dönemine hazırlık” anlamına geldiği konusunda uyardı. SecurityScorecard, virüslü yönlendiricilerin daha önce Volt Typhoon ile ilişkilendirilmemiş IP adresleriyle iletişim kurduğunu gözlemlediğini söyledi.

2019’da Cisco, CVE-2019-1653 olarak takip edilen bir güvenlik açığı için yaklaşık 10 haftalık bir süre içinde iki yama seti yayınladı; Volt Typhoon muhtemelen orijinal yamanın güvenlik açığını çözmediğini bulduktan sonra bu yamadan yararlandı. Cisco, Ocak 2020’de yeni satışları keserek iki yönlendiriciyi durdurdu ve bir yıl sonra da yeni güvenlik açıkları için ürün yazılımı güncellemeleri yayınlamayı durdurdu. SOHO yönlendiricileri, sahiplerinin büyük çoğunluğunun güncellemeleri yüklememe eğiliminde olduğu göz önüne alındığında, bilgisayar korsanları için genellikle kolay hedeflerdir. 2018 yılında İngiliz yetişkinler arasında yapılan bir ankette, yanıt verenlerin %86’sı donanım yazılımlarını hiçbir zaman güncellemediklerini, %82’si ise önceden yapılandırılmış yönetici şifresini kullanmaya devam ettiklerini söyledi.

Microsoft, Mart 2023’te Volt Typhoon’u tespit etti ve hedeflerinin Guam ve ABD’deki kritik altyapıları içerdiği konusunda uyardı. Guam, iki büyük Amerikan askeri üssünün bulunduğu yerdir. Microsoft, tehdit aktörünün tespit edilmesini zorlaştırmak amacıyla internet trafiğini güvenliği ihlal edilmiş küçük ofis veya ev ofis yönlendiricileri üzerinden proxy olarak kullandığını söyledi (bkz: Çin Devlet Hacker ‘Volt Typhoon’ Guam ve ABD’yi Hedef Alıyor).

Güvenlik cihazları ve yönlendirici üreticileri ve Microsoft, kendilerini Pekin’le yapılan sıfır gün yarışmasının kaybeden tarafında bulurken, Çin’deki bilgisayar korsanlığı faaliyetlerine ilişkin yeni açıklamalar siber güvenlikte neredeyse sürekli hale geliyor. FBI Direktörü Christopher Wray’in Eylül ayında Washington DC’de düzenlenen bir siber güvenlik konferansında “Çin’in hâlihazırda diğer tüm büyük ulusların toplamından daha büyük bir bilgisayar korsanlığı programına sahip olduğu” söylediği bildirildi.

Yönlendiricideki Volt Typhoon ihlalinin bir göstergesi, daha önce belirtilmemiş bir web kabuğudur. fy.sh. Etkilenen yönlendiriciler, Pazartesi gününden bu yana çevrimdışı olan bir yük sunucusundan web kabuğunu alıp çalıştırıyor.

SecurityScorecard, kamuya açık örneklerini bulamadığını söyledi. fy.sh web kabuğu, VirusTotal’da aynı adda iki dosya görünmesine rağmen. Bu dosyaların Volt Typhoon kampanyasıyla ilgisiz olduğu belirtildi.

Aralık ayında Lumen’in Black Lotus Laboratuvarları Volt Typhoon etkinliğini tespit etti. Bilgisayar korsanlarının, Temmuz 2022’den Şubat 2023’e kadar Netgear ProSafe güvenlik duvarlarını, Çin devlet korsanları tarafından ele geçirilen ağlar için geçiş düğümleri görevi görmek üzere kullandığı belirtildi.