Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), Anglophone Five Eyes ittifakından istihbarat teşkilatlarının yanı sıra, kritik ulusal altyapı (CNI) ağlarını hedef alan Çin devlet destekli bir faaliyet kampanyasını vurgulayan bir kılavuz yayınladı.
Kötü niyetli faaliyet kampanyasını Volt Typhoon olarak adlandırdığı ve tehdit aktörü adlandırma taksonomisini yakın zamanda revize eden gelişmiş bir kalıcı tehdit aktörüne bağlayan Microsoft ile birlikte çalışan istihbarat topluluğunun ifşası, teknik uzlaşma göstergelerini ve taktik, teknik ve prosedür örneklerini içerir. grup tarafından kullanılıyor.
NCSC operasyon direktörü Paul Chichester, “Kritik ulusal altyapı operatörlerinin, uluslararası ortaklarımızla yaptığımız bu ortak danışma belgesinde açıklandığı gibi, saldırganların sistemlerinde saklanmasını önlemek için harekete geçmesi hayati önem taşıyor” dedi.
“Birleşik Krallık temel hizmet sağlayıcılarını, bu kötü niyetli etkinliği tespit etmeye ve kalıcı uzlaşmayı önlemeye yardımcı olmak için kılavuzumuzu izlemeye şiddetle teşvik ediyoruz.”
Microsoft’a göre, Volt Typhoon yaklaşık iki yıldır aktif ve ABD’nin yanı sıra ABD’nin Pasifik ada bölgesi Guam’da birden fazla CNI operatörünü hedef aldı. Hedeflenen kuruluşlar arasında iletişim hizmetleri sağlayıcıları, üreticiler, kamu hizmetleri, ulaşım operatörleri, inşaat firmaları, BT şirketleri, eğitim kurumları ve devlet kurumları yer alıyor.
Buna göre bu New York TimesBölgenin Tayvan’a yakınlığı ve Çin’in saldırması durumunda Tayvan’ın savunmasında askeri bir yanıt oluşturma açısından ABD için değeri göz önüne alındığında, Guam’a odaklanma özellikle endişe verici.
Microsoft, gözlemlediği davranışa dayanarak Volt Typhoon’un “casusluk gerçekleştirmeyi ve mümkün olduğu kadar uzun süre tespit edilmeden erişimi sürdürmeyi planladığını” söyledi.
Kurban ağlarına savunmasız Fortinet FortiGuard cihazları aracılığıyla erişme eğilimindedir ve ardından trafiğini Asus, Cisco, D-Link, Netgear ve Zyxel donanımı dahil olmak üzere güvenliği ihlal edilmiş küçük ve ev ofis (Soho) ağ uç cihazları üzerinden yönlendirerek normal ağ etkinliğine karışır.
Hedef ağına yerleştikten sonra Volt Typhoon, verileri ve kimlik bilgilerini çıkarmak için karada yaşama teknikleri ve ikili dosyalar (LOLbin’ler) kullanarak özellikle gizli hale gelir. LOLbin’ler meşru amaçlar için kullanılan işletim sisteminde “doğal olarak oluşan” araçlar ve yürütülebilir dosyalar olduğundan, bu, etkinliğini tespit etmeyi savunanlar için özellikle korkunç bir zorluk haline getirir.
Secureworks’ün bilgi güvenliği araştırması kıdemli danışmanı ve Çin’in tematik lideri Marc Burnard, Secureworks’ün Bronz Siluet olarak takip ettiği grubun operasyon güvenliğine “tutarlı bir şekilde odaklandığını” söyledi – ayak izini en aza indiriyor, tespit edilmekten kaçınmak için gelişmiş teknikler kullanıyor ve önceden tehlikeye atılmış altyapı.
“Gizlenen bir casus düşünün, amaçları aralarına karışmak ve fark edilmemek” dedi. “Bu, Bronze Silhouette’in olağan ağ etkinliğini taklit ederek yaptığı tam olarak budur. Bu, bir düzeyde operasyonel olgunluk ve grubun izinsiz giriş faaliyetinin tespit edilmesi ve atfedilmesi olasılığını azaltmak için tasarlanmış bir çalışma tarzına bağlılık anlamına gelir.
Burnard, “Özellikle Batılı kuruluşları hedef alırken operasyonel güvenliğin dahil edilmesi, CTU araştırmacılarının son yıllarda Çinli tehdit gruplarına atfettiği ağ tavizleriyle tutarlıdır” diye ekledi.
“Bu ticari zanaat gelişmeleri, muhtemelen siber casusluk faaliyetine karıştığı iddia edilen Çinli uyruklulara yönelik bir dizi yüksek profilli ABD Adalet Bakanlığı iddianamesi, güvenlik sağlayıcıları tarafından bu tür faaliyetlerin kamuya ifşa edilmesi ve bu durumun muhtemelen liderliğin artan baskısına yol açması tarafından yönlendirildi. Siber casusluk faaliyetinin kamu denetiminden kaçınmak için Çin Halk Cumhuriyeti içinde.
“Çin’in siber casusluk konusunda oldukça yetenekli olduğu biliniyor ve Bronze Silhouette, hassas bilgileri elde etme nihai hedeflerini gerçekleştirmek için amansız uyum sağlamaya odaklandığını gösteriyor” dedi.
Rehberlik
Microsoft, kendilerini Volt Typhoon’dan etkilenen bulan kuruluşların, etkilenen tüm hesaplardaki kimlik bilgilerini derhal kapatması veya değiştirmesi ve kötü niyetli eylemler veya açığa çıkan veriler için faaliyetlerini incelemesi gerektiğini söyledi.
Kuruluşların ayrıca bu faaliyete karşı savunmak için ellerinde bulunan ve birçoğu temel siber güvenlik hijyeni kategorisine giren çeşitli araçları vardır. Bunlar şunları içerir:
- Uygun çok faktörlü kimlik doğrulama ve kimlik bilgisi yönetimi politikalarının uygulanması;
- Kimlik bilgilerinin çalınmasını, işlem oluşturmayı ve potansiyel olarak karartılmış betiklerin yürütülmesini engelleyen kuralları etkinleştirerek saldırı yüzeyinin azaltılması;
- Windows 11 aygıtlarında LSASS için Koruyucu İşlem Işığı’nı ve varsayılan olarak etkinleştirilmemişse Windows Defender Credential Guard’ı etkinleştirerek Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti sürecini sağlamlaştırma;
- Microsoft Defender Antivirus aracılığıyla sağlanan bulutla sağlanan korumaların etkinleştirilmesi;
- Bitiş Noktası için Microsoft Defender’ın, Microsoft’a ait olmayan bir antivirüs ürünü tespit etmemiş olsa bile kötü amaçlı yapıtları engellemesini sağlamak için uç nokta algılama ve yanıtını blok modunda çalıştırma.
Çin karşılık veriyor
Bu arada Çin hükümeti, Beş Göz ittifakını bir dezenformasyon kampanyası yürütmekle suçlayarak ifşaatlara öfkeyle yanıt verdi.
Çin dışişleri bakanlığından bir sözcü, raporun “son derece profesyonelce olmadığını” ve yeterli kanıtla desteklenmediğini söyledi.