FBI, Çin Halk Cumhuriyeti’nin (PRC) devlet destekli bilgisayar korsanları (diğer adıyla “Volt Typhoon”) tarafından ABD merkezli kritik altyapı kuruluşlarını hedeflemek için kullanılan KV botnet’ini bozdu.
Kritik altyapı kuruluşlarını araştırmaya yönelik bir botnet
Tehdit aktörleri, yüzlerce ABD merkezli, özel sektöre ait küçük ofis/ev ofisi (SOHO) yönlendiricisini ele geçirmek ve “ABD ve diğer yabancı kurbanlara” yönelik bilgisayar korsanlığı faaliyetlerini gizlemek için KV botnet kötü amaçlı yazılımını kullandı.
“Volt Typhoon kötü amaçlı yazılımı, Çin’in diğer şeylerin yanı sıra, iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapılara karşı operasyon öncesi keşif ve ağ istismarını gizlemesine olanak tanıdı; diğer bir deyişle, Çin’in bu saldırıları bulmak ve hazırlamak için attığı adımlar FBI direktörü Christopher A. Wray, sivil kritik altyapıyı yok edin veya bozun, dedi.
KV botnet kötü amaçlı yazılımının bulaştığı cihazların çoğu, ömrünün sonuna gelmiş Cisco ve NetGear yönlendiricileriydi; bu da satıcıların yama ve yazılım güncellemeleri sağlamayı bıraktığı anlamına geliyordu.
FBI operasyonu
ABD Adalet Bakanlığı (DOJ), “Mahkeme yetkilisi operasyon, KV botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi, botnet ile bağlantılarını kesmek için ek adımlar attı” dedi. Çarşamba günü yayınlanan bir basın açıklaması.
Aralık 2023’te gerçekleştirilen operasyon, saldırıya uğrayan yönlendiricilerin çalışabilirliğini etkilemediği gibi depolanan bilgileri de toplamadı.
Adalet Bakanlığı, “Mahkeme tarafından yetkilendirilen operasyon, KV Botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve bunların botnet ile bağlantısını kesmek için, botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi ek adımlar attı” diye açıkladı.
“Bir yönlendiricinin sahibi, yönlendiriciyi yeniden başlatarak bu azaltma adımlarını tersine çevirebilir. Ancak, mahkeme kararıyla yetkilendirilenlere benzer hafifletme adımlarının eşlik etmediği bir yeniden başlatma, yönlendiriciyi yeniden enfeksiyona karşı savunmasız hale getirecektir.”
FBI, KV Botnet kötü amaçlı yazılımının bulaştığı SOHO yönlendiricilerinin bazı sahipleriyle veya operatörleriyle, yapılan eylemler hakkında bilgi vermek için temasa geçti. Diğerleriyle internet servis sağlayıcıları iletişime geçecektir.
Daha büyük resim
Yine Çarşamba günü, Çin Komünist Partisi Seçilmiş Komitesi, çatışma zamanlarında ÇHC’nin ABD güvenliğine yönelik oluşturduğu siber tehditler hakkında bir duruşma düzenledi.
CISA Direktörü Jen Easterly, bu veya benzeri botnet’lerden yararlanan bir Çin Halk Cumhuriyeti siber saldırısının, petrol boru hatlarını bozarak, telekomünikasyonu kesintiye uğratarak, trenleri raydan çıkararak, içme suyu kirliliğine neden olarak vb. yoluyla toplumsal paniğe nasıl yol açtığını özetledi.
ABD Siber Komuta Komutanı General Paul Nakasone, ÇKP’nin siber saldırıları hakkında “Bu, bir çatışma durumunda Çin’in seçeneklerini sunma girişimidir” dedi. “Bu karşı karşıya kalacağımız dönemsel bir tehdit değil. Bu kalıcıdır. (…) Hücum ve savunma kabiliyetlerimiz olması lazım.”
Botnet kesintisi
Bu, devlet kurumlarının botnet’leri bozmaya yönelik ilk operasyonu değil.
Örneğin Nisan 2022’de FBI, Rusya destekli bilgisayar korsanları tarafından işletildiğine inanılan Cyclops Blink botnet’ini çökertti.
Ağustos 2023’te, çeşitli ülkelerdeki kolluk kuvvetlerinin, botları, C&C iletişimlerini kesintiye uğratan FBI tarafından oluşturulan bir modülü ve Qakbot kötü amaçlı yazılımını kaldırmak için ek bir programı indirmeye zorlayarak Qakbot botnet’ini bozduğu daha yeni bir operasyon gerçekleşti.