ABD hükümeti, özel sektör paydaşlarıyla işbirliği içinde, en azından 2021’in ortasından bu yana ABD’nin kritik altyapısını hedef alan çok sayıda saldırıyla ilişkilendirilen, Çin bağlantılı tehlikeli bir tehdit grubu olan “Volt Typhoon”un saldırı altyapısını bozmak için sessizce çalışıyor.
Reuters, 30 Ocak’ta ismi açıklanmayan çok sayıda kaynağa dayandırdığı haberinde, bu faaliyetin son birkaç ayda ABD’nin Çin operasyonunun bazı yönlerini uzaktan devre dışı bırakma girişimlerini içerdiğini bildirdi. Reuters’e göre ABD Adalet Bakanlığı ve FBI, yasal izin arayıp aldıktan sonra bu çabaya öncülük ediyor.
Uzaktan Kesinti
Kesinti çabalarının, genel olarak Çin bağlantılı grupların ve özel olarak Volt Typhoon’un fidye yazılımları da dahil olmak üzere yaygın bilgisayar korsanlığı faaliyetleri konusunda ABD istihbarat topluluğu içinde artan endişeden kaynaklandığı bildiriliyor. “Volt Typhoon, bunun deniz limanları, İnternet servis sağlayıcıları ve kamu hizmetleri de dahil olmak üzere Batı’nın kritik altyapısını tehlikeye atmaya yönelik daha büyük bir çabanın parçası olduğunu söyleyen istihbarat yetkililerini özellikle alarma geçirdi.” Reuters dedi.
En büyük endişe, tehdit aktörünün Çin’e izin verecek yetenekler için zemin hazırlamaya yardımcı olmasıdır. yetenekleri bozmak Hint-Pasifik bölgesinde, bölgedeki ABD askeri operasyonlarını destekleyen veya hizmet veren. Reuters, “Kaynaklar ABD’li yetkililerin bilgisayar korsanlarının Çin’in Tayvan’ı işgal etmesi durumunda ABD’nin hazırlıklı olma durumuna zarar vermeye çalıştıklarından endişe duyduğunu söyledi.” dedi.
Microsoft, halka açık olarak rapor veren ilk şirketlerden biri Geçen Mayıs ayındaki Volt Tayfunu, benzer şekilde tehdit aktörünün amacının, gelecekteki bir kriz sırasında ABD ile Asya bölgesi arasındaki iletişim altyapısını kesintiye uğratmasına olanak tanıyacak yetenekler geliştirmek olduğu sonucuna vardı. Grubun kurbanları arasında iletişim, ulaşım, denizcilik, hükümet, kamu hizmetleri ve bilgi teknolojisi sektörlerindeki kuruluşlar yer alıyor.
Microsoft, Volt Typhoon’u, örneğin saldırılarında neredeyse yalnızca meşru araçları, arazide yaşama tekniklerini ve uygulamalı klavye etkinliğini kullanarak gizliliğe güçlü bir vurgu yaptığını tanımladı. Grup ayrıca trafiğini yönlendirmek için güvenliği ihlal edilmiş küçük ofis ve ev ofisi (SOHO) ağ cihazlarını kullanarak kötü niyetli varlığını normal ağ etkinliğiyle karıştırmaya da çalıştı. Microsoft, “Gözlemlenen davranışlar, tehdit aktörünün casusluk yapma ve mümkün olduğu kadar uzun süre tespit edilmeden erişimi sürdürme niyetinde olduğunu gösteriyor” dedi.
Aralık 2023’te Lumen’deki araştırmacılar Volt Typhoon’u bir dizi Çinli tehdit grubundan biri olarak tanımladılar. büyük SOHO botnet’i, Yüksek değerli hedeflere yönelik saldırılarda komuta-kontrol (C2) altyapısı olarak KV-Botnet olarak adlandırılıyor. Lumen, büyük ölçüde eski Cisco, DrayTek ve Netgear yönlendiricilerinden oluşan botnet’i, Volt Typhoon’un muhtemelen bir İnternet servis sağlayıcısına, iki telekomünikasyon firmasına ve Guam’daki bir ABD devlet kurumuna yönelik saldırılarda kullandığı bir şey olarak değerlendirdi.
Yakın zamanda SecurityScorecard Gözlemlendiği bildirildi Volt Typhoon, ömrünü tamamlamış Cisco RV320 yönlendiricilerini tehlikeye atmaya ve onları büyüyen C2 botnetinin bir parçası yapmaya çalışıyor. SecurityScorecard kampanyasının bir parçası olarak araştırmacılar, Volt Typhoon’un güvenliği ihlal edilmiş sistemlere şimdiye kadar bilinmeyen ve henüz analiz edilmemiş fy.sh adlı bir Web kabuğu bıraktığını gözlemledi.
Reuters’e göre ABD hükümeti, ismi açıklanmayan birçok bulut bilişim şirketinden, telekomünikasyon şirketinden ve özel teknoloji şirketinden Volt Typhoon faaliyetini takip etme ve ortadan kaldırma konusunda yardım istedi. Reuters, Beyaz Saray yetkililerinin Volt Typhoon faaliyetlerini kesintiye uğratma planlarını görüşmek üzere özel sektör paydaş kuruluşlarının liderleriyle bir araya geldiğini söyledi.