Amerika Birleşik Devletleri Ulusal Güvenlik Teşkilatı, çalışmaları ve istihbaratı konusunda sıklıkla ağzı sıkı davranır. Ancak perşembe günü Washington DC’de düzenlenen Cyberwarcon güvenlik konferansında, ajansın Siber Güvenlik İşbirliği Merkezi’nin iki üyesinin siber güvenlik camiasına bir “eylem çağrısı” vardı: ABD’nin kritik altyapısına yerleşen Çin hükümeti destekli bilgisayar korsanlarının tehdidine dikkat edin.
NSA, “Beş Göz” istihbarat ittifakındaki muadillerinin yanı sıra, Mayıs ayından bu yana, Pekin’in sponsorluğunda Volt Typhoon olarak bilinen bir grubun, faaliyetlerinin bir parçası olarak elektrik şebekeleri de dahil olmak üzere kritik altyapı ağlarını hedef aldığı konusunda uyarıda bulunuyor.
Yetkililer perşembe günü ağ yöneticilerinin ve güvenlik ekiplerinin, bilgisayar korsanlarının gizli operasyonlar yürütmek için kötü amaçlı yazılım yerine meşru araçları manipüle ettiği ve kötüye kullandığı şüpheli faaliyetlere karşı tetikte olması gerektiğini vurguladı; bu yaklaşım “karadan yaşamak” olarak bilinir. Çin hükümetinin, bilgisayar korsanlarının silah haline getirip istismar edebileceği önemli miktardaki sıfır gün güvenlik açıkları sayesinde yeni izinsiz giriş teknikleri ve kötü amaçlı yazılımlar da geliştirdiğini eklediler. Pekin bu hataları kendi araştırmalarının yanı sıra güvenlik açığının açıklanmasını gerektiren bir yasa aracılığıyla topluyor.
NSA’nın Siber Güvenlik İşbirliği Merkezi direktörü Morgan Adamski Perşembe günü yaptığı açıklamada, Çin Halk Cumhuriyeti’nin “sistemlere yetkisiz erişim sağlamaya çalıştığını ve bu ağlardan yararlanmak için en iyi zamanı beklediğini” söyledi. “Tehdit son derece karmaşık ve yaygın. Bulmak kolay değil. Uzun vadede kritik ağlara sessizce girme niyetiyle ön konumlandırmadır. Bu aktörlerin kritik altyapılarda yer alması kabul edilemez ve bu bizim çok ciddiye aldığımız, endişe duyduğumuz bir konu.”
Microsoft’tan Mark Parsons ve Judy Ng, günün ilerleyen saatlerinde Cyberwarcon’da Volt Typhoon’un faaliyetleri hakkında bir güncelleme yaptı. İlkbaharda ve yazın büyük bölümünde hareketsiz görünen grubun, faaliyetlerinin takip edilmesini zorlaştırmak için operasyonel güvenlik artırılarak Ağustos ayında yeniden ortaya çıktığını belirttiler. Volt Typhoon, üniversitelere ve ABD Ordusu Yedek Subaylarının Eğitim Kolordusu programlarına (grubun özellikle desteklediği bir kurban türü) saldırmaya devam etti, ancak aynı zamanda başka ABD kamu hizmet şirketlerini de hedef aldığı gözlemlendi.
Microsoft’tan Ng Perşembe günü yaptığı açıklamada, “Volt Typhoon’un bunu casuslukla ilgili faaliyetler için yaptığını düşünüyoruz, ancak buna ek olarak, bunu ihtiyaç anında yıkım veya kesinti için kullanabilecekleri bir unsur olduğunu düşünüyoruz” dedi.
NSA’dan Adamski ve Siber Güvenlik İşbirliği Merkezi’nin baş operasyon sorumlusu Josh Zaritsky, ağ savunucularına sistem günlüklerini anormal faaliyetlere karşı yönetmeleri ve denetlemeleri ve günlükleri, sisteme erişim sağlayan ve arayan bir saldırgan tarafından silinemeyecek şekilde saklamaları konusunda çağrıda bulundu. izlerini gizlemek için.
İkili ayrıca, iki faktörlü kimlik doğrulama ve saldırganların ilk etapta hesapları tehlikeye atma ve hesaplardan yararlanma olasılığını en aza indirmek için kullanıcıların ve yöneticilerin sistem ayrıcalıklarını sınırlama gibi en iyi uygulamaları da vurguladı. Ve sadece yazılımdaki güvenlik açıklarını düzeltmenin gerekli olmadığını, aynı zamanda geri dönüp günlükleri ve kayıtları kontrol ederek hatanın yamalanmadan önce kötüye kullanıldığına dair işaretler olmadığından emin olmanın da önemli olduğunu vurguladılar.
“İnternet servis sağlayıcılarına, bulut sağlayıcılarına, uç nokta şirketlerine, siber güvenlik şirketlerine, cihaz üreticilerine, bu mücadelede herkese birlikte ihtiyacımız olacak. Ve bu, ABD’nin kritik altyapımız için verilen bir mücadeledir” dedi Adamski. “Güvendiğimiz ürünler, hizmetler, önemli olan her şey; işte bu yüzden önemli.”