FBI ile Siber Güvenlik ve Altyapı Güvenliği Ajansı, devlet destekli tehdit aktörü Volt Typhoon’un ABD’deki çok sayıda kritik altyapı sağlayıcısının BT ortamlarını tehlikeye attığını doğruladı. Grup ve Çin devletiyle bağlantılı diğer aktörler, hazırlık aşamasında panik ve aksaklık yaratmak için geniş bir kampanya yürütüyor Asya-Pasifik bölgesinde olası bir askeri saldırı için.
Teşkilatlar, önemli uluslararası ortaklarıyla birlikte ayrıntılı bir uyarı yayınlayarak, tehdit grubunun, kötü niyetli kişileri gizlemek için tasarlanmış sözde arazide yaşama tekniklerini kullanarak çok sayıda ulaşım, enerji, iletişim ve su ve atık su sağlayıcılarının sistemlerine zaten yerleştiği konusunda uyardı. aktivite.
Tehdit aktörleri, bu kilit endüstrilerde büyük aksamalara yol açabilecek ve ABD’yi, Çin’in Tayvan’ı olası bir işgali de dahil olmak üzere askeri harekatlara yanıt vermekten alıkoyabilecek yıkıcı siber saldırıları serbest bırakmayı planlıyor.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein Çarşamba günü yaptığı açıklamada, “Kanıtlarımız, ÇHC aktörlerinin gelecekte ulusal güvenliğe, ekonomik güvenliğe veya kamu sağlığı ve güvenliğine etki edebilecek yıkıcı veya yıkıcı siber saldırılar başlatmaya hazır olduklarını güçlü bir şekilde gösteriyor” dedi. medya brifingi.
ABD kurumları, son beş yıldır Volt Typhoon ve diğer aktörlerin, kendilerini yaygın olarak kullanılan küçük ofis/ev ofis yönlendiricilerine ve diğer ağ oluşturma ekipmanlarına yerleştirerek faaliyetlerini maskelemek de dahil olmak üzere arazide yaşama tekniklerini kullandıklarına dair kanıtlar buldu.
ABD geçen hafta, KV Botnet kötü amaçlı yazılımının bulaştığı ve diğer kuruluşlar üzerinde onların bilgisi olmadan casusluk operasyonları yürütmek için kullanılan yüzlerce özel sektöre ait SOHO yönlendiricisinden oluşan bir ağı bozmak için mahkeme emriyle bir operasyon yapıldığını açıkladı. Botnet, artık üreticiler tarafından aktif olarak hizmet verilmeyen, ömrünü tamamlamış Cisco ve Netgear yönlendiricilerini hedef alıyordu.
Tehdit faaliyeti, Kanada’ya yayılma potansiyeli taşıyan ABD ve Guam dahil bölgelerdeki kritik altyapı kuruluşlarını hedef alıyor. Avustralya ve Yeni Zelanda’daki siber yetkililer, kritik sektörlerine yönelik benzer tehdit faaliyetlerine hazırlanıyor.
Saldırılar, geleneksel olarak ABD şirketlerinden casusluk ve fikri mülkiyet hırsızlığına odaklanan Çin bağlantılı grupların taktiklerinde önemli bir değişikliği temsil ediyor.
FBI’ın siber güvenlik bölümü müdür yardımcısı Cynthia Kaiser’e göre, Çin’e bağlı diğer aktörler de kritik altyapılara karşı benzer tehdit faaliyetleri yürütüyor.
Uyarı ve rehberlik, geçen hafta Çin Komünist Partisi Temsilciler Meclisi Seçim Komitesi önünde yapılan ve FBI Direktörü Chris Wray, CISA Direktörü Jen Easterly, Ulusal Siber Direktör Harry Coker ve Cuma günü başkanlık görevinden ayrılan General Paul Nakasone’nin katıldığı olağanüstü duruşmanın ardından geldi. Ulusal Güvenlik Ajansı ve ABD Siber Komutanlığı komutanı, tehdidi tüm ayrıntılarıyla anlattı.
Easterly, kampanyanın amacının, Amerikan vatandaşlarının, Çin Halk Cumhuriyeti’nin Asya-Pasifik bölgesinde bir askeri saldırı durumunda askeri müdahalede bulunma iradesini kırmak olduğu konusunda uyardı.
Duruşma sırasında Easterly, “Bu gerçekten de Her Şeyin Her Yerde, Hepsi Aynı Anda senaryosu” dedi. “Ve bu, Çin hükümetinin, orada büyük bir çatışma olması durumunda Amerika’nın Tayvan’ı savunma yönündeki iradesini muhtemelen ezeceğine inandığı bir yer.”
Mandiant yetkilileri, Volt Typhoon’un eylemlerinin, Ukrayna çatışması sırasında görülen tehdit faaliyetlerine benzer olduğunu ve kritik altyapıya saldırarak askeri müdahaleyi potansiyel olarak sekteye uğratma potansiyeline sahip olduğunu söyledi.
Google Cloud Mandiant Intelligence’ın baş analisti John Hultquist Çarşamba günü şunları söyledi: “Volt Typhoon özellikle, kritik altyapının kalbindeki fiziksel süreçleri çalıştıran son derece hassas sistemler olan operasyonel teknoloji sistemleri hakkında bilgi topluyor ve hatta bunlara nüfuz ediyor.” Bir açıklamada. “Doğru koşullar altında OT sistemleri, temel hizmetlerin büyük ölçüde kapatılmasına neden olacak, hatta tehlikeli koşullar yaratacak şekilde manipüle edilebilir.”
Microsoft, Mayıs 2023’te Volt Typhoon’un, ilk erişim elde etmek ve diğer ağ ekipmanlarını kötüye kullanmak için internete dönük Fortinet Fortiguard ortamları da dahil olmak üzere SOHO cihazlarını kötüye kullandığı konusunda uyardı.
Security Scorecard’dan araştırmacılar geçen ay Volt Typhoon’un CVE-2019-1653 ve CVE olarak listelenen iki eski güvenlik açığını kullanarak 1 Aralık’tan 7 Ocak’a kadar 37 günlük bir süre boyunca Cisco RV320/325 cihazlarının bir alt kümesini tehlikeye attığını gösteren bir rapor yayınladı. -2019-1652.
Black Lotus Labs Aralık ayında KV Botnet ile bağlantılı tehdit faaliyetlerini vurgulayan bir rapor yayınladı. Raporda belirtilen etkinliğin tarihi Şubat 2022’ye kadar uzanıyor ve Volt Typhoon etkinliğiyle bağlantılı olarak aktarma düğümleri görevi gören Netgear ProSafe güvenlik duvarlarının kullanımını içeriyordu.
CISA, teknoloji şirketlerini, potansiyel tehlikelere karşı mümkün olduğunca güvenli olduklarından emin olmak için yazılım ve diğer ürünleri geliştirme ve yapılandırma yöntemlerinde büyük değişiklikler yapmaya çağırıyor.
Buna, daha güvenli programlama dillerinin kullanılması, varsayılan şifrelerin kullanımının sona erdirilmesi ve çok faktörlü kimlik doğrulamanın kurulması da dahildir.