Dalış Özeti:
- Microsoft araştırmacıları ve federal yetkililer, Çin Halk Cumhuriyeti ile artan düşmanlıklar arasında Asya ile iletişimi bozmak için tasarlanmış olabilecek ABD kritik altyapı sağlayıcılarına yönelik kötü niyetli bir siber kampanya hakkında uyarıda bulunuyor.
- Microsoft’un yeni adlandırma taksonomisinde Volt Typhoon olarak tanımladığı devlet destekli bir tehdit aktörü, normal günlük aktiviteye uyum sağlamak için küçük ofis, ev ofis yönlendiricileri, güvenlik duvarları ve VPN cihazlarını kötüye kullanan bir gizlilik kampanyası yürütüyor. Bilgisayar korsanları, şirketlere ilk erişim sağlamak için internete bakan Fortinet FortiGuard cihazlarını kötüye kullanıyor ve aralarında ASUS, Cisco, D-Link, Netgear ve Zyxel’in de bulunduğu bir dizi şirketin güvenliği ihlal edilmiş SOHO cihazlarından yararlanıyor.
- Siber Güvenlik ve Altyapı Güvenliği Ajansı, FBI, Ulusal Güvenlik Ajansı ve Five Eyes’tan siber ajanslarla birlikte Çarşamba günü kampanya hakkında bir tavsiye yayınladı. Yetkililer, bilgisayar korsanlarının normal Windows etkinliğine uyum sağlamak ve uç nokta algılama ve yanıt yazılımı tarafından keşfedilmekten kaçınmak için karada yaşama tekniklerini kullandıklarını söyledi.
Dalış Bilgisi:
Microsoft araştırmacılarına göre 2021’den beri aktif olan Volt Typhoon, ABD ve Guam’daki kritik altyapı sağlayıcılarını hedef aldı. Aktörün hedef aldığı başlıca sektörler arasında iletişim, imalat, kamu hizmetleri, ulaşım, inşaat, bilişim, eğitim ve hükümet yer alıyor.
Dragos İstihbarat İçeriği Direktörü Tom Winston, “Düşmanlar, keşif yapmak için sık sık kritik altyapıyı hedefler ve sonunda gerilimin artması durumunda veya en kötü durumda savaş durumunda bir dayanak noktası elde eder, düşman bir ülkenin altyapısının bazı kısımlarını devre dışı bırakabilir.” , e-posta yoluyla söyledi.
Mandiant’tan araştırmacılar, bilgisayar korsanlarını hava, deniz ve kara taşımacılığı hedeflerini içeren önceki kampanyalardan tanıdıklarını söylediler. Yeni faaliyet, yıkıcı veya yıkıcı siber saldırılara hazırlık olabilir.
Google Cloud Mandiant Intelligence baş analisti John Hultquist, “Hazırlık, saldırıların kaçınılmaz olduğu anlamına gelmez” dedi. “Devletler, olası bir çatışmaya hazırlanmak için kritik altyapıya uzun vadeli izinsiz girişler yapıyor, çünkü çatışma çıktığında erişim elde etmek için çok geç olabilir.”
Microsoft, hedef alınan veya güvenliği ihlal edilen müşterileri doğrudan bilgilendirdiğini söyledi.
Microsoft’a göre, bilgisayar korsanları Fortinet cihazları aracılığıyla erişim sağladıktan sonra bu cihazlardan herhangi bir ayrıcalıktan yararlanmaya ve ardından kimlik bilgilerini bir Active Directory hesabına kaldırmaya çalışıyor. Kimlik bilgileri daha sonra diğer cihazlarda kimlik doğrulaması yapmak için kullanılır. Fortinet yetkililerine yorum için hemen ulaşılamadı.
Microsoft araştırmacıları, oyuncunun aktif hesaplara ve arazi dışında yaşayan ikili dosyalara güvenmesi nedeniyle saldırıları tespit etmenin ve azaltmanın zor olacağını söyledi. NSA, kara dışı yaşam aktivitelerini tespit etmek ve hafifletmek için bir rehber yayınladı.