FBI, Çinli Volt Typhoon eyaleti bilgisayar korsanlarının ABD’nin kritik altyapısını hedef alan saldırılar sırasında tespit edilmekten kaçınmak için kullandığı KV Botnet’i bozdu.
Bilgisayar korsanlığı grubu (Bronz Siluet olarak da takip ediliyor), bunu Amerika Birleşik Devletleri’ndeki yüzlerce küçük ofis/ev ofisini (SOHO) ele geçirmek için kullandı ve bunları, tespit edilmekten kaçınmak için kötü niyetli etkinliklerinin meşru ağ trafiğine karışmasını sağlamak için kullandı.
Kötü amaçlı yazılımı ilk kez Aralık ayında Çin tehdit grubuyla ilişkilendiren Lumen Technologies’in Black Lotus Labs ekibine göre, güvenliği ihlal edilen ve bu botnet’e eklenen cihazlar arasında Netgear ProSAFE, Cisco RV320s ve DrayTek Vigor yönlendiricilerinin yanı sıra Axis IP kameraları da vardı.
Bu ayın başlarında yayınlanan bir SecurityScorecard raporu, Volt Typhoon korsanlarının bir aydan biraz uzun bir süre içinde tüm Cisco RV320/325 cihazlarının yaklaşık %30’unu çevrimiçi olarak ele geçirebildiğini tahmin ediyor.
“Volt Typhoon kötü amaçlı yazılımı, Çin’in, diğer şeylerin yanı sıra, iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapılara karşı operasyon öncesi keşif ve ağ istismarını gizlemesine olanak sağladı; başka bir deyişle, Çin’in, bu saldırıları bulmak ve hazırlamak için attığı adımlar FBI Direktörü Christopher Wray, “Bizi güvende ve refah içinde tutan sivil kritik altyapıyı yok edin veya bozun” dedi.
“Dolayısıyla ortaklarımızla birlikte çalışan FBI, Volt Typhoon’u ve onun sağladığı erişimi kapatmak için mahkeme onaylı, ağ içi bir operasyon yürüttü.”
FBI’ın operasyonu, 6 Aralık’ta emniyet teşkilatının komuta ve kontrol (C2) sunucusuna girdikten sonra botnet’i kaldırma yetkisi veren bir mahkeme emrini ilk kez almasıyla başladı.
FBI ajanları, içeri girdikten sonra ele geçirilen cihazlara komutlar göndererek onları botnetten kestiler ve Çinli bilgisayar korsanlarının onları kötü amaçlı ağa yeniden bağlamasını engellediler.
Ayrıca, kötü amaçlı yazılımı botnet VPN bileşenini kaldırmaya zorlayan ve bilgisayar korsanlarının cihazları kullanarak daha fazla saldırı gerçekleştirmesini engelleyen bir komut da yayınladılar.
“KV Botnet’i oluşturan yönlendiricilerin büyük çoğunluğu, ‘kullanım ömrü sonu’ durumuna ulaştıkları için savunmasız olan Cisco ve NetGear yönlendiricileriydi; yani artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmiyorlardı.” Adalet Bakanlığı basın açıklaması açıklıyor.
“Mahkeme tarafından yetkilendirilen operasyon, KV Botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve bunların botnet ile bağlantısını kesmek için, botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi ek adımlar attı.”
Satıcılara SOHO yönlendiricilerini güvenceye almaları çağrısında bulunuldu
Bugün, CISA ve FBI da SOHO yönlendirici üreticilerine, Volt Typhoon’un devam eden saldırılarına karşı güvende olduklarından emin olmalarını isteyen bir kılavuz yayınladı.
Öneriler arasında güvenlik güncellemelerinin otomatikleştirilmesi ve web yönetimi arayüzlerine varsayılan olarak yalnızca LAN’dan erişime izin verilmesinin yanı sıra tasarım ve geliştirme aşamalarında güvenlik kusurlarının ortadan kaldırılması yer alıyor.
Mayıs 2023’teki bir Microsoft raporu, Volt Typhoon korsanlarının en azından 2021’in ortasından beri ABD’deki kritik altyapı kuruluşlarını hedef aldığını ve ihlal ettiğini ortaya çıkardı.
Bilgisayar korsanlığı grubunun KV Botnet gizli veri aktarım ağı, en az Ağustos 2022’den bu yana ABD askeri kuruluşları, telekomünikasyon ve internet servis sağlayıcıları ve Avrupalı bir yenilenebilir enerji firması da dahil olmak üzere çok çeşitli kuruluşları hedef alan saldırılarda kullanıldı.
Reuters, ABD hükümetinin KV Botnet kesinti operasyonunu ilk olarak Pazartesi günü bildirdi.