CISA, NSA, FBI ve ABD'deki ve dünya çapındaki diğer birçok kurum, kritik altyapı liderlerini sistemlerini Çin Volt Typhoon hack grubuna karşı korumaları konusunda uyardı.
NSA, FBI, diğer ABD devlet kurumları ve Avustralya, Kanada, Birleşik Krallık ve Yeni Zelanda'daki siber güvenlik kurumları da dahil olmak üzere ortak Five Eyes siber güvenlik kurumlarıyla birlikte Volt Typhoon saldırılarını tespit etme ve bunlara karşı savunma konusunda savunma ipuçları da yayınladı.
Geçtiğimiz ay ayrıca Çinli bilgisayar korsanlarının ABD'nin birden fazla kritik altyapı kuruluşuna sızdıkları ve keşfedilmeden önce en az beş yıl boyunca bunlardan en az birine erişimi sürdürdükleri konusunda uyardılar.
Yetkililer, siber casusluk grubu Volt Typhoon'un hedef ve taktiklerinin tipik faaliyetlerden farklı olduğunu gözlemledi ve amaçlarının ağlar içindeki, kritik altyapıyı bozmak için kullanılabilecek Operasyonel Teknoloji (OT) varlıklarına erişim elde etmek olduğunu öne sürdü.
ABD'li yetkililer, bu Çinli grubun kritik altyapıyı daha fazla bozmak ve askeri çatışmalar veya jeopolitik gerilimler sırasında aksamalara neden olmak için bu erişimi istismar edebileceğinden endişe ediyor.
Bugün, CISA ve ortak ABD hükümet kurumları (Enerji Bakanlığı, Çevre Koruma Ajansı, Ulaştırma Güvenliği İdaresi ve Hazine Bakanlığı dahil) kritik altyapı liderlerine siber güvenlik ekiplerini bilinçli kaynak sağlama kararları vermeleri ve tedarik zincirlerini güvence altına almaları için güçlendirmeleri konusunda tavsiyelerde bulundu. ve performans yönetimi sonuçlarının kuruluşlarının siber hedefleriyle uyumlu olmasını sağlayın.
Ortak, “Siber güvenlik ekipleriniz için temel en iyi uygulamalar arasında, erişim ve güvenlik de dahil olmak üzere günlük kaydının uygulamalar ve sistemler için açık olmasını ve günlüklerin merkezi bir sistemde saklanmasını içerir. Arazi dışında yaşamayı tespit etmek ve azaltmak için güçlü bir günlük kaydı gereklidir.” rehberlik diyor [PDF].
“BT ekiplerinize, belirli günlükler Volt Typhoon aktörleri tarafından kullanılan komutları (CSA'da atıfta bulunulan) ortaya çıkardığı için hangi günlükleri tuttuklarını sorun. BT ekipleriniz ilgili günlüklere sahip değilse, güvenliği ihlalleri etkili bir şekilde tespit etmek için hangi kaynaklara ihtiyaç duyabileceklerini sorun.”
Bronze Silhouette olarak da takip edilen Volt Typhoon, en azından 2021'in ortasından bu yana ABD'nin kritik altyapı kuruluşlarını hedef alıyor ve ihlal ediyor.
Çinli bilgisayar korsanları, saldırıları sırasında kötü niyetli faaliyetlerini gizlemek ve tespit edilmekten kaçınmak için ABD genelinde yüzlerce küçük ofis/ev ofisinden (SOHO) oluşan bir botnet (KV-botnet olarak adlandırılıyor) kullandı.
FBI, Aralık ayında grubun KV-botnet'ini kesintiye uğrattı, ancak Lumen'in Black Lotus Laboratuarlarının kalan C2 ve yük sunucularını çökertmesinden sonra bilgisayar korsanları bunu yeniden inşa etmeyi başaramadı.
KV-botnet dağıtıldıktan sonra CISA ve FBI, SOHO yönlendirici üreticilerini, güvenli yapılandırma varsayılanlarını kullanarak ve geliştirme sırasında web yönetimi arayüzü kusurlarını ortadan kaldırarak cihazlarını Volt Typhoon saldırılarına karşı korumaya çağırdı.