Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Yetkililer, Bilgisayar Korsanlarının Kritik Altyapı Ağlarında Tespit Edilmekten Kaçtıklarını Söyledi
Chris Riotta (@chrisriotta) •
7 Şubat 2024
ABD güvenlik kurumları, kritik altyapı operatörlerini, Çin hükümetinin bilgisayar korsanları tarafından sıklıkla istismar edildiği bilinen kritik güvenlik açıklarına yönelik yamaları derhal uygulamaları konusunda uyarıyor.
Ayrıca bakınız: İsteğe Bağlı Panel | Operasyonel Mükemmelliği Güvenceye Alma: CISO’ları Engelleme 5 En Önemli Güvenlik Sorunu
Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü ortak bir siber güvenlik danışma belgesinde, Volt Typhoon olarak bilinen Çinli bir bilgisayar korsanlığı grubunun bazı kurban bilgi teknolojisi ortamlarına “en az beş yıl boyunca” erişimi ve tutunmayı sürdürdüğünü söyledi. Volt Typhoon’un tespit edilmekten kaçınırken nasıl BT ağlarına kalıcı erişim sağlamayı başardığını ayrıntılarıyla anlatan rapor, FBI, Ulusal Güvenlik Ajansı ve aralarında Birleşik Krallık, Kanada, Avustralya ve Siber Güvenlik kurumlarının da bulunduğu çok sayıda uluslararası ortağın işbirliğiyle yayınlandı. Yeni Zelanda – Beş Göz istihbarat paylaşım ittifakını oluşturan ülkeler.
CISA’nın genel müdür yardımcısı Eric Goldstein, Çarşamba günü gazetecilerle yaptığı telefon görüşmesinde, Çinli bilgisayar korsanlığı grubunun ulusal güvenliğe, ekonomik güvenliğe ve kamuya zarar verecek yıkıcı siber saldırılar başlatmak için kendisini ABD’nin kritik altyapı ağlarında konumlandırdığına dair kanıtların “güçlü bir şekilde” ortaya çıktığını söyledi. sağlık.
Raporda, Çinli bilgisayar korsanlarının SCADA sistemleri, röleler ve anahtarlama donanımı da dahil olmak üzere operasyonel teknolojiyle ilgili diyagramları ve belgeleri sızdırdığı belirtiliyor; CISA, “kritik altyapı sistemlerini anlamak ve potansiyel olarak etkilemek için hayati önem taşıyan veriler” dedi. Ayrıca Volt Typhoon oyuncularının bazı durumlarda kritik altyapı tesislerindeki kameralı gözetim sistemlerine erişme kabiliyetine sahip olduğu da belirtildi.
ABD hükümeti ve Beş Göz istihbarat paylaşım ittifakı, Volt Typhoon’un varlığını ilk kez Mayıs ayında, siber savunucuların Guam ve ABD’de faaliyet tespit etmesinden sonra kamuoyuna açıkladı. Pasifik adası Tayvan’a uçakla sadece birkaç saat uzaklıktadır ve iki büyük Amerikan askeri üssünün bulunduğu yerdir (bkz.: Çin Devlet Hacker ‘Volt Typhoon’ Guam ve ABD’yi Hedef Alıyor).
Mayıs ayında Volt Typhoon’un varlığını da açıklayan Microsoft, grubun 2021 ortasından bu yana aktif olduğunu söyledi. CISA’nın raporunda “güçlü operasyonel güvenliğin”, tehdit aktörünün yıllardır tespit edilemeyen ağlara sızmasına olanak sağladığı belirtiliyor.
Batı’nın Çin bilgisayar korsanlığına karşı tepkisi, her ne kadar on yılı aşkın bir süredir devam ediyor olsa da, Çin’in Tayvan ve Güney Çin Denizi’ne yönelik bölgesel emellerine ilişkin endişeler arttıkça daha da acil hale geldi. Çin Devlet Başkanı Xi Jinping, ordunun 2027 yılına kadar Tayvan’ı işgal edebilecek kapasiteye sahip olmasını emretti.
Siber güvenlik uzmanları, Çin devlet korsanlarının artan karmaşıklığını gözlemledi; bu, güvenlik açığı raporlarının hükümete zorunlu olarak açıklanmasını gerektiren Pekin yasasının olası bir etkisidir (bkz.: Siberuzayda Sıfır Gün Yağmuru Yağıyor).
VPN’ler gibi ağ kenarlarında bulunan cihazlar Çinli bilgisayar korsanlarının özel hedefi olmuştur ve Hollanda hükümeti dün Çinli tehdit aktörlerinin savunmasız cihazlar için geniş ve fırsatçı tarama kampanyaları yürüttüğü ve gizlice bilgi edinmek için sıfır gün ve yakın zamanda yamalanmış güvenlik açıklarını kullandığı konusunda uyardı. erişim.
Goldstein, “Bu tavsiye belgesiyle yayınladığımız bilgiler, ÇHC’nin kötü niyetli siber faaliyetlerindeki stratejik değişimi yansıtıyor” dedi. CISA, Çinli bilgisayar korsanlığı gruplarının casusluk kampanyalarından “gelecekteki yıkıcı veya yıkıcı saldırılar için hazırlık yapmaya” yöneldiğini gözlemledi.
Raporda, Volt Typhoon’un genellikle halka açık ağlardaki bilinen veya sıfır gün güvenlik açıkları aracılığıyla kurban ortamlarına saldırdığı belirtiliyor. Daha sonra kuruluşun personeli, güvenlik uygulamaları ve genel ağ yapısı hakkında bilgi edinmek için kapsamlı keşif operasyonları yürütür. Amacı genellikle yönetici kimlik bilgilerini kazanmak ve sonunda tam etki alanından ödün vermektir. Danışmana göre, bilgisayar korsanları daha sonra “istismar sonrası titiz istihbarat toplama” operasyonları gerçekleştirebilir ve kurban ağlarını daha da bozabilir.
Bu tavsiye, FBI Direktörü Christopher Wray’in, Pekin’in Tayvan’a karşı bir işgal başlatması halinde Çinli bilgisayar korsanlarının “Amerikan vatandaşlarına ve topluluklarına zarar vermeye ve gerçek dünyada zarar vermeye” hazırlandıklarını ifade etmesinden bir haftadan kısa bir süre sonra geldi. FBI direktörü, Çin Komünist Partisi Temsilciler Meclisi Seçim Komitesi’ne, ABD yetkililerinin yakın zamanda Volt Typhoon’un kötü amaçlı yazılımını ülke çapındaki evlerde ve küçük işletmelerdeki “yüzlerce” kurbanın kişisel yönlendiricilerinden söktüğünü söyledi (bkz: FBI Çin’in Büyük Bir Hackleme Kampanyasını Nasıl Durdurdu?).
Wray, “Sadece siyasi ve askeri hedeflere odaklanmıyorlar” dedi. “Sivil altyapıda kendilerini konumlandırdıkları yerden, düşük darbelerin yalnızca çatışma durumunda bir olasılık olmadığını görebiliyoruz: Sivillere karşı düşük darbeler Çin’in planının bir parçası.”
Raporda, Çinli bilgisayar korsanlarının Fortinet, Citrix ve Cisco gibi kuruluşların çok çeşitli popüler ticari ağ aygıtlarındaki güvenlik açıklarından yararlandığı belirtiliyor. Grup muhtemelen bir kurbanın ağına yamalı bir ağ güvenlik duvarı aracılığıyla erişim elde etti. CISA, ağlara yetkisiz erişim sağladıktan sonra grubun genellikle yanal hareket etmek ve tespit edilmekten kaçınarak kampanyalarını yürütmek için “karada yaşama” tekniklerini kullandığını söyledi.
Mandiant Intelligence baş analisti John Hultquist’e göre, Çin’in ABD’deki kritik altyapı sektörlerini hedeflemesi, yabancı düşmanların Rusya’nın ölümcül işgali sırasında Ukrayna’ya karşı gerçekleştirdiği benzer eylemleri yansıtıyor.
Raporda, Bilgi Güvenliği Medya Grubu’na gönderilen bir açıklamada Hultquist, Volt Typhoon’un özellikle operasyonel teknoloji sistemlerini – “kritik altyapının kalbindeki fiziksel süreçleri çalıştıran son derece hassas sistemler” – hedeflediğini ve bunlarla ilgili bilgi topladığını söylüyor.
“OT sistemlerine yapılan baskınlara dair kanıtlar, aktörün ciddi bir tehdit olduğuna dair endişelerimizi haklı çıkarıyor” diye ekledi. “Bu aktörün bu izinsiz girişleri neden gerçekleştirdiği konusunda herhangi bir şüphe varsa, bu açıklamanın bunu ortadan kaldırması gerekir.”