Çin destekli tehdit aktörleri, gözlemlenen casusluk amacıyla ABD’deki telekom ağları ve diğer kritik altyapı hedefleri içinde kalıcı erişim sağlamayı başardılar – ve potansiyel olarak, askeri çatışma durumunda hattın aşağısındaki iletişimi kesintiye uğratma yeteneği. Güney Çin Denizi ve daha geniş Pasifik.
Bu, gelişmiş kalıcı tehdide (APT) “Volt Typhoon” adını veren Microsoft’un son dakika araştırmasına göre. Geçmişte Microsoft, Mandiant ve başka yerlerdeki araştırmacılar tarafından siber casusluk faaliyetleri yürüttüğü gözlemlenen, devlet destekli bilinen bir gruptur.
Casusluk şimdilik amaç gibi görünse de, oyunda daha uğursuz bir amaç olabilir. Analize göre, “Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını kesintiye uğratabilecek yeteneklerin geliştirilmesini sürdürdüğü konusunda orta düzeyde bir güvenle değerlendiriyor.”
New York Times’ın bir raporuna göre, bulguların açıklanmasından önce Guam’daki telekom ağlarında uzlaşmanın ilk işaretleri ortaya çıktı. Rapora göre, Ulusal Güvenlik Teşkilatı bu izinsiz girişleri, Çin casus balonunun ABD hava sahasına girmek için manşetlere çıktığı sıralarda keşfetti. Daha sonra, Microsoft’u daha fazla araştırma yapması için görevlendirdi ve sonunda, özellikle hava, iletişim, deniz ve kara taşımacılığı hedeflerine odaklanarak, birden çok sektörde yaygın bir uzlaşma ağı ortaya çıkardı.
Gölge Hedef mi? Kesinti İçin Temel Hazırlanıyor
Faaliyetin keşfi, ABD’nin Pekin ile soğuk ilişkilerinin zemininde oynuyor; İki süper güç, balonun düşürülmesinden bu yana diplomasilerinde duraksadı ve Rusya’nın Ukrayna’yı işgalinin Çin’i aynı şeyi Tayvan’da yapmaya teşvik edebileceği korkusu arasında daha da kötüleşti.
Times’ın haberine göre, bir askeri kriz durumunda, ABD’nin kritik altyapısına yönelik yıkıcı bir siber saldırı iletişimi bozabilir ve ülkenin Tayvan’ın yardımına gelme yeteneğini engelleyebilir. Veya Mandiant Intelligence – Google Cloud’un baş analisti John Hultquist’e göre, yıkıcı bir saldırı kinetik eylem için bir vekil olarak kullanılabilir.
E-postayla gönderilen bir açıklamada, “Bu operasyonlar agresif ve potansiyel olarak tehlikeli, ancak saldırıların yaklaşmakta olduğunu göstermeleri gerekmiyor” dedi. için çok daha güvenilir bir gösterge [a] yıkıcı ve yıkıcı siber saldırı, kötüleşen bir jeopolitik durumdur. Yıkıcı ve yıkıcı bir siber saldırı da sadece bir savaş senaryosu değildir. Bu yetenek, silahlı çatışmaya alternatif arayan devletler tarafından kullanılabilir.”
Bu tür hazırlıkları “beklenmedik müdahaleler” olarak adlandırarak, Çin’in bunları yürütmede kesinlikle yalnız olmadığını ekledi – Çin destekli APT’lerin tipik olarak imhadan çok siber casusluğa odaklanmasına rağmen.
Hultquist, “Son on yılda Rusya, operasyonlarda anında etki için tasarlandığına inanmadığımız çeşitli kritik altyapı sektörlerini hedef aldı.” “Çinli siber tehdit aktörleri, düzenli olarak yıkıcı ve yıkıcı siber saldırılara başvurmadıkları için meslektaşları arasında benzersizdir. Sonuç olarak, yetenekleri oldukça opaktır.”
Gizlilik ve Casusluk Üzerine Gözlemlenen Bir Odaklanma
İlk erişimi sağlamak için Volt Typhoon, her türden siber saldırgan için popüler bir hedef olan İnternet’e bakan Fortinet FortiGuard cihazlarını tehlikeye atar (Microsoft, bu durumda bunların nasıl ihlal edildiğini hâlâ inceliyor). Kutunun içine girdikten sonra APT, Active Directory hesabından kimlik bilgilerini çıkarmak ve ağdaki diğer cihazlarda kimlik doğrulaması yapmak için cihazın ayrıcalıklarını kullanır.
Analize göre, devlet destekli aktör içeri girdikten sonra “sistem hakkında bilgi bulmak, ağdaki ek cihazları keşfetmek ve verileri sızdırmak için” komut satırını ve arazi dışında yaşayan ikili dosyaları kullanıyor.
Volt Typhoon izlerini örtmek için ağ trafiğini tehlikeye atılmış küçük ofis/ev ofis (SOHO) yönlendiricileri ve ASUS, Cisco, D-Link, NETGEAR ve Zyxel’in diğer uç cihazları aracılığıyla proxy’ler – bu da normal ağ etkinliğine karışmasına olanak tanır. Microsoft araştırmacıları kaydetti.
Gönderi ayrıca hafifletme tavsiyeleri ve uzlaşma göstergeleri sağlıyor ve NSA, tehdidin nasıl avlanacağına dair ayrıntıları içeren Volt Typhoon hakkında bir tandem danışma belgesi (PDF) yayınladı (PDF).