Volt Typhoon, en azından 2021’in ortasından beri aktif olan ve ABD ve bölgelerindeki kritik altyapı sektörlerini hedef alan, Çin devleti destekli bir bilgisayar korsanlığı grubudur.
Grup, “casusluk” yaparken dikkat çekmemek amacıyla “güvenliği aşılmış yönlendiriciler” ve “diğer cihazlar” kullanarak ağlara sızmak için karmaşık teknikler kullanıyor.
Güvenlik analistlerinden biri olan “Owaiz Khan” yakın zamanda “IP adreslerini” tespit etmeye yardımcı olan “ExoneraTor Aracı”nın “Tor Ağı” ile bağlantılı olduğunu tespit etti ve “Volt Typhoon”u ortaya çıkardı.
ExoneraTor IP Adresini Tespit Ediyor
ExoneraTor, The Tor Project tarafından geliştirildi ve belirli bir “IP adresinin” belirli bir tarihte Tor ağının parçası olup olmadığını doğrulayan özel bir araçtır.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Bu web hizmeti, Tor’u içeren çevrimiçi etkinliklerin araştırılmasında “kolluk kuvvetlerine”, “araştırmacılara” ve “bireylere” yardımcı olur.
“Çıkış düğümleri”, “orta röleler” ve “giriş korumaları” gibi “Tor aktarıcıları” hakkındaki “geçmiş verilerini sorgulayarak” çalışır.
Kullanıcılar, “Tor aktarıcısı” olarak çalışıp çalışmadığını belirlemek için bir IP adresi ve tarih girebilirler.
ExoneraTor, ‘dijital adli tıp’, ‘Tor altyapısı değişikliklerinin izlenmesi’ ve ‘çevrimiçi anonimliğin bir faktör olduğu vakaların araştırılması’ konularında yardımcı olur.
Örneğin, bir “IP’nin, üzerinden “anonim internet trafiğinin” ortaya çıktığı bir Tor çıkış aktarıcısı olup olmadığını doğrulayabilir.
Araç ayrıca “aktarma parmak izleri” gibi ek veriler de sağlar. Bu tür veriler “Tor düğümleri” için benzersiz tanımlayıcılardır.
Bu bilgi “Tor ağ dinamiklerini” anlamak için önemlidir ve “kapsamlı analiz” için diğer “Tor ölçümleri” ile “çapraz referans verilebilir”.
ExoneraTor, “Tor katılımını” doğrulamak açısından değerli olsa da, “Tor kullanımının” doğası gereği yasa dışı faaliyetin göstergesi olmadığını unutmamak önemlidir. Ağ aynı zamanda “meşru gizlilik koruması” için de kullanılıyor.
“ExoneraTor sonuçları” ve “Tor ağ konsensüs verileri” analizi, “67.205.139.175”in muhtemelen “Volt Typhoon” tarafından “45.63.60.39”daki C2 sunucusuna bağlantıları maskelemek için “Tor çıkış aktarıcısı” olarak kullanılmadığını gösteriyor.
Ancak kesin kanıt, “bağlantı noktası numaraları” ve “trafik meta verileri” gibi ek bilgiler gerektirir.
Araştırmacılara göre kuruluşlar str’yi uygulamalıdır.“LOTL” tekniklerinin tespitini geliştirmek için “Arazi Dışında Yaşama Tekniklerini Belirleme ve Azaltma” kılavuzundaki stratejiler.
Bunlar arasında “sağlam güvenlik temelleri oluşturmak”, “davranış analitiğini kullanmak” ve “proaktif tehdit avcılığı yapmak” yer alıyor.
‘Yetersiz uygulamalar’ ve ‘tanımlanmamış normal davranış kalıpları’ nedeniyle birçok kuruluş “LOTL tespiti” ile mücadele ediyor, sadece böyle bir senaryo bile “kötü amaçlı faaliyetlerin” belirlenmesini de zorlaştırıyor. Geleneksel “IOC’ler” genellikle LOTL saldırılarını tanımlamakta yetersiz kalır.
“Gelişmiş anormallik tespiti”, “karmaşık davranış analizi” ve “sürekli proaktif avlanma”yı içeren kapsamlı bir siber güvenlik yaklaşımı, modern ağ ortamlarında LOTL tehditlerini etkili bir şekilde azaltmak için çok önemlidir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)