‘Volt Typhoon’, Çin Destekli Siber Kampanyalar İçin Yeni Bir Çığır Açıyor



Çin destekli bir tehdit aktörünün Guam’daki kritik altyapı kuruluşlarını hedef aldığına dair bu hafta çıkan haberler, Amerika’nın jeopolitik hasımlarının gelecekteki bir krizde kilit iletişim ve operasyonel teknolojilere karşı yıkıcı siber saldırılar başlatması hayaletini bir kez daha gündeme getirdi.

Saldırılar, Microsoft’un bu hafta iletişim, hükümet, kamu hizmetleri, imalat, denizcilik ve diğer kritik sektörlerdeki kuruluşları hedef aldığını bildirdiği “Volt Typhoon” adlı daha geniş bir kampanyanın parçası. Son birkaç yılda Çin’in devlet destekli çoğu siber kampanyasında olduğu gibi, Volt Typhoon’un birincil odak noktası ilk başta siber casusluk gibi görünüyor.

Çin Siber Saldırıları İçin Sorunlu Yeni Bir Bükülme Noktası mı?

Ancak grubun, Microsoft’un incelediği diğer kanıtlarla birlikte Tayvan’ı Çin’in potansiyel ilhakına karşı savunmak için stratejik bir üs olan Guam’ı hedef alması, aktörün aynı zamanda kinetik bir çatışmada ABD-Asya iletişimini bozabilecek saldırılar için zemin hazırladığını gösteriyor.

“ABD hedeflerine yönelik nispeten az Çin faaliyeti gördüğümüz birkaç yıllık bir dönem vardı. […] son 12 ayda değiştiSymantec Tehdit Avcısı Ekibi baş istihbarat analisti Dick O’Brien, muhtemelen Tayvan sorunu etrafındaki jeopolitik gerilimlerin bir sonucu. Şu anda Tayvan’da ve Guam bu odak noktasının bir parçası olabilir” diyor.

Microsoft’un gözlemlediği yıkıcı saldırılara yönelik bariz hazırlık, son yaklaşık yirmi yılda Çinli gruplar tarafından gerçekleştirilen siber saldırıların çoğundan önemli bir sapmaya işaret ediyor – ana odak noktası, Çin’in çevredeki stratejik hedeflerini desteklemek için ABD ve diğer ülkelerden ticari sırları ve fikri mülkiyeti çalmaktı. özgüven. Stratejik ve Uluslararası Çalışmalar Merkezi’nin halka açık bilgileri kullanarak yaptığı bir anket, ABD kuruluşlarını hedef alan 224 Çin casusluğu vakası bildirdi. Bunların neredeyse yarısı (%46) siber casusluğu içeriyordu.

Çin’in Uzun Siber Casusluk Tarihi

Listedeki dikkate değer erken örnekler şunları içerir: Çinli aktörlerin bir NASA ağından Uzay Mekiği Keşif programı hakkında bilgi çaldığı Nisan 2005 kampanyası; ABD askeri ve savunma sırlarını savunma yüklenicilerinden ve askeri birimlerden çalmak için Titan Rain adlı 2005 operasyonu; ve Google’ı ve diğer 30 büyük teknoloji şirketini vuran Aurora adlı 2010 kampanyası.

Daha yakın zamanlarda, Çinli bilgisayar korsanları 2018’de bir ABD Deniz Kuvvetleri Yüklenicisinden ABD süpersonik gemisavar füzesinden 614 GB veri çaldı; 2019’daki bir saldırı, General Electric jet motoru türbinlerine ilişkin verilerin çalınmasıyla sonuçlandı; ve Mayıs 2020’de, koronavirüs aşısı ile ilgili ABD araştırmalarını çalmayı amaçlayan bir saldırı düzenlendi.

Vakaların yaklaşık yarısında (%49), CSIS aktörün ve niyetin Çin hükümeti ve askeri görevlileri içerdiğini tespit edebildi; Bu olayların %29’u askeri teknolojileri çalma girişimlerini içeriyordu ve bunların %54’ü ticari IP ve ticari sırları çalmayı amaçlıyordu.

En azından şimdiye kadar, tüm bu kampanyalar boyunca, Çinli gruplar ABD’nin kritik altyapısına geniş çapta zarar verebileceklerini göstermediler – ya da en azından araştırmacılar herhangi bir kanıt ortaya çıkarmadı. Ancak onların ve diğer ulus devlet destekli grupların, özellikle Rus APT’lerinin de yapabileceğinden kimsenin şüphesi yok.

Google Cloud Mandiant Intelligence’ın baş analisti John Hultquist, “Çin kritik altyapıyı bozma becerisini göstermedi, ancak bu onların ve diğer devletlerin yapabileceğine inandığımız bir şey” diyor.

Çin’in Siber Potansiyeli Gerçek Dünyayı Karıştırıyor

“Kritik altyapı, fidye yazılımı gibi yeteneklerle kesintiye uğrayabilir, ancak Çin gibi bazı ülkelerin operasyonel teknoloji (OT) sistemlerine saldırma yeteneğine erişimi olması muhtemeldir” diyor.

Çin destekli tehdit aktörleri, şu anda özellikle siber casusluk yapmaya odaklanmış olanlar olmak üzere ulus devlet grupları arasında en aktif olanlardır. CrowdStrike’ın tehdit istihbarat ekibi, geçen yıl China-nexus aktörlerinin geçen yıl 20 coğrafi bölgede siber casusluk kampanyalarında 39 endüstri sektörünü hedef aldığını tespit etti.

Güvenlik araştırmacılarının, Çinli grupların bu saldırıları gerçekleştirirken kullandıkları becerilerin, gerektiğinde yıkıcı saldırılarda da kullanılabileceğinden şüpheleri yok.

Bilgi direktörü Cliff Steinhauer, “Çin’den gelen siber tehdidin diğer düşman ülkelerle teknik yönlerini karşılaştırırken, taktikler, teknikler ve prosedürler (TTP’ler) arasında farklılıklar var. Rus grupları genellikle sosyal mühendislik ve gelişmiş kötü amaçlı yazılımlardan yararlandı” diyor. Ulusal Siber Güvenlik İttifakı’nda (NCA) güvenlik ve katılım.

Aslında, Steinhauer, Rus grupların genellikle sosyal mühendislik ve karmaşık kötü amaçlı yazılımlardan yararlandığını, Kuzey Koreli grupların yıkıcı saldırılara ve siber destekli finansal soygunlara yöneldiğini, İranlı grupların ise sıklıkla DDoS saldırılarına ve tahrifatlara başvurduğunu söylüyor. Bu arada Çinli gruplar hedefli kimlik avı, su birikintisi saldırıları ve istismar zincirlerinin bir karışımını kullanma eğilimindeydiler. “Bununla birlikte, yetenekleri ve ölçekleri çok endişe vericidir çünkü ısrarcıdırlar ancak bir saldırı gerçekleştirmek için her fırsatta harekete geçmezler ve gerçek ayak izlerini bilinmez bırakırlar” diye belirtiyor.

Zero-Day Kullanımını ve Hackleme Yeteneklerini İyileştirme

Son yıllarda Çinli APT grupları, sıfır günleri keşfetme ve kullanma konusunda diğer tüm gruplardan önemli ölçüde daha iyi hale geldi. Ayrıca, yeni ortaya çıkan kusurlardan genellikle en hızlı yararlananlar arasında yer alıyorlar.

Mandiant’tan alınan veriler, 2022’de Çinli siber casusluk gruplarının çeşitli kampanyalarda yedi sıfır gün açığından yararlandığını gösteriyor. Bu, 2021’de yararlandıkları sekiz sıfır günden bir çentik daha düşüktü, ancak yine de herhangi bir ülkeden tehdit aktörleri tarafından en yüksek sayıydı. Çinli tehdit aktörlerinin son zamanlarda oldukça yıkıcı bir etkiyle kullandıkları sıfır gün güvenlik açıklarına örnek olarak CVE-2022-30190 (namı diğer Follina); FortiOS sistemlerine karşı CVE-2022-42475; ve 2021’de Microsoft Exchange’deki sözde ProxyLogon kusurları.

Çin merkezli grupların saldırılarının çoğu Fortinet, Pulse, Netgear, Citrix ve Cisco gibi şirketlerin ağ ve uç cihazlarını hedef aldı. Microsoft’un bu hafta açıkladığı kampanya Volt Typhoon da bir istisna değil. Microsoft analizi, tehdit aktörünün, güvenliği aşılmış yönlendiriciler ve ASUS, Netgear, D-Link ve Cisco gibi şirketlerin küçük ofis/ev ofis (SOHO) uç cihazları aracılığıyla tüm ağ trafiğini proxy olarak kullandığını gösterdi. Çin destekli gruplar, Volt Typhoon da dahil olmak üzere son kampanyalarda, uzlaşma sonrası keşif, yanal hareket ve kalıcılığı sürdürmek için meşru ve ikili kullanım araçlarını kullanma eğilimi gösterdi.

Ontinue’de güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones, “En sevdikleri ortamlardan biri ağ uç cihazlarından saldırı başlatmak ve düzenlemektir” diyor. “Bu gruplar, hedeflenen ağlara sızma ve kalıcı erişimi sürdürme konusunda uzmanlık gösteriyor. [and] Jones, güvenliği ihlal edilmiş sistemlerde uzun süreler boyunca gizlice faaliyet gösteriyor” diyor. Ayrıca, tedarik zinciri saldırılarını düzenlemede mükemmeller, saldırıları gerçekleştirirken güvenilir satıcılardan ve yazılım sağlayıcılardan yararlanıyorlar, diyor Jones.

Mandiant’ta siber casusluk üst düzey yöneticisi Ben Read, Çin’in kritik altyapıyı bozabilecek kötü amaçlı yazılım oluşturma konusunda karmaşıklığa sahip olduğunu değerlendiriyor, ancak şu ana kadar böyle bir kanıt yok. “ABD’deki kritik altyapı ağlarının çok sayıda ve dağıtılmış doğası göz önüne alındığında, bir aksamaya neden olacak siyasi bir karar vermeleri durumunda bir miktar etkiye sahip olmaları muhtemeldir” diyor. “Ancak ABD savunmaya yatırım yapmaya devam ediyor, bu nedenle potansiyel etkinin ölçeği belirsiz.”



Source link