CISA, küçük ofis/ev ofisi (SOHO) yönlendirici üreticilerini, cihazlarının, özellikle de Çin devlet destekli bilgisayar korsanlığı grubu Volt Typhoon (Bronze Silhouette) tarafından koordine edilen, onları ele geçirmeye çalışan devam eden saldırılara karşı güvenliğini sağlamaya çağırdı.
Daha spesifik olarak, FBI’ın yardımıyla oluşturulan yeni kılavuzda, iki kurum, satıcılardan tasarım ve geliştirme aşamaları sırasında SOHO yönlendirici web yönetimi arayüzlerindeki (WMI’ler) güvenlik açıklarını ortadan kaldırmalarını istiyor.
Ayrıca, güvenlik güncellemelerini otomatikleştirmek için yönlendiricilerin varsayılan yapılandırmasını ayarlamaları, güvenlik ayarlarını devre dışı bırakırken manuel olarak geçersiz kılmaları gerektirmeleri ve yönlendiricilerin WMI’sına yalnızca yerel alan ağına bağlı cihazlardan erişime izin vermeleri istendi.
Tehdit aktörleri, Amerikalılar tarafından kullanılan çok sayıda SOHO yönlendiricisinden yararlanarak ve bunları ABD’nin kritik altyapı kuruluşlarını hedef alan saldırılarda fırlatma rampası olarak kullanarak bu tür birçok cihazı tehlikeye atıyor.
“CISA ve FBI, SOHO yönlendirici üreticilerini, bu tehdit aktörlerinin (1) bu cihazları tehlikeye atmak ve (2) bu cihazları saldırı rampası olarak kullanmak için izlediği yolu ortadan kaldırmak amacıyla SOHO yönlendiricilerinin tasarımı, geliştirilmesi ve bakımında güvenlik oluşturmaya çağırıyor. Siber güvenlik kurumu, ABD’nin kritik altyapı varlıklarını daha da tehlikeye attığını söyledi.
“CISA ve FBI ayrıca üreticileri, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programı aracılığıyla güvenlik açıklarını açıklayarak ve bu güvenlik açıkları için doğru Ortak Zayıflık Sayımı (CWE) sınıflandırması sağlayarak Volt Typhoon faaliyetlerine ve diğer siber tehditlere karşı koruma sağlamaya çağırıyor.
“Uyarı ayrıca üreticileri, ürün tasarımı ve geliştirme sırasında güvenliğe öncelik veren teşvik yapıları uygulamaya teşvik ediyor.”
Volt Typhoon, SOHO yönlendirici botnet’ine bağlanıyor
CISA’nın bugünkü uyarıda bahsettiği SOHO yönlendiricilerini hedef alan Volt Typhoon saldırıları, muhtemelen Aralık ayında Çin siber casuslarıyla bağlantılı olan ve en az Ağustos 2022’den bu yana bu tür cihazları hedef alan KV-botnet kötü amaçlı yazılımına atıfta bulunuyor.
Haziran 2023’te yayınlanan bir ABD hükümeti danışma belgesi, tehdit grubunun ABD çapında iletişim altyapısını aksatmak için kullanılabilecek bir altyapı inşa etmek üzerinde çalıştığını değerlendirdi.
Microsoft’un daha önceki bir raporu, Çin destekli devlet korsanlarının, birden fazla ABD askeri üssüne ev sahipliği yapan bir ada olan Guam da dahil olmak üzere, en azından 2021 ortasından bu yana ABD’nin kritik altyapı kuruluşlarını hedef aldığını ve ihlal ettiğini ortaya çıkardı.
Volt Typhoon’un kötü amaçlı trafiği proxy olarak yönlendirmek için yaygın olarak yönlendiricileri, güvenlik duvarlarını ve VPN cihazlarını hedef alması ve saldırılar sırasında tespit edilmekten kaçınmak için bu trafiği yasal trafikle harmanlaması biliniyor. Lumen Technologies Black Lotus Labs ekibine göre bilgisayar korsanları Netgear ProSAFE güvenlik duvarlarını, Cisco RV320’leri, DrayTek Vigor yönlendiricilerini ve Axis IP kameralarını hedef alıyor.
Lumen, “Kampanya, birçok işletmenin savunma dizisinde zayıf bir nokta olarak ortaya çıkan ve son yıllarda uzaktan çalışmaya geçişle birleşen ağların kenarındaki cihazları etkiliyor” dedi.
KV-botnet’in yardımıyla oluşturulan gizli veri aktarım ağı, ABD askeri kuruluşları, telekomünikasyon ve internet servis sağlayıcıları, Guam’daki bir ABD bölgesel hükümet kuruluşu ve Avrupalı bir yenilenebilir enerji şirketi dahil olmak üzere çok çeşitli kuruluşları hedef alan saldırılarda kullanıldı. .
Reuters’e göre ABD hükümetinin son aylarda Volt Typhoon’un altyapısının bir kısmını zaten devre dışı bıraktığı bildiriliyor.