Çin destekli siber casusluk grubu Volt Typhoon, saldırı altyapısını büyütmek için karmaşık ve gizli bir kampanyayla eski Cisco cihazlarını sistematik olarak hedef alıyor.
Çoğu durumda, kritik altyapıyı hedeflemesiyle bilinen tehdit aktörü, hedef cihazlara sızmak ve bunların kontrolünü ele geçirmek için yönlendiricilerdeki 2019’daki birkaç güvenlik açığından yararlanıyor.
ABD Kritik Altyapı Sektörlerini Hedefleme
SecurityScorecard’ın tehdit istihbarat ekibinden araştırmacılar, son satıcı ve ürünler üzerinde bazı takip araştırmaları yaparken bu etkinliği fark etti. medya raporları Volt Typhoon’un ABD’deki kritik altyapı kuruluşlarına sızması ve gelecekteki potansiyel kesintilere zemin hazırlaması hakkında. Saldırılar su hizmetlerini, enerji tedarikçilerini, ulaşımı ve iletişim sistemlerini hedef aldı. Grubun kurbanları arasında ABD, İngiltere ve Avustralya’daki kuruluşlar da yer alıyor.
Satıcı raporlarından biri, Lümenaşağıdakilerden oluşan bir botnet tanımladı: küçük ofis/ev ofisi (SOHO) yönlendiricileri Volt Typhoon’un ve diğer Çinli tehdit gruplarının yüksek değerli ağlara yönelik saldırılarda komuta ve kontrol (C2) ağı olarak kullandığı. Lumen’in raporda tanımladığı ağ esas olarak Cisco, DrayTek ve daha küçük bir ölçüde Netgear’ın kullanım ömrü sonu yönlendiricilerinden oluşuyor.
SecurityScorecard araştırmacıları, Volt Typhoon’un kampanyasıyla ilişkili yeni altyapıyı tespit edip edemeyeceklerini görmek için Lumen’in raporuyla birlikte yayınladığı güvenlik ihlali göstergelerini (IoC’ler) kullandı. soruşturma SecurityScorecard personel tehdit araştırmacısı Rob Ames, bu durumun tehdit grubunun faaliyetinin önceden düşünülenden daha kapsamlı olabileceğini gösterdiğini söylüyor.
Örneğin Volt Typhoon’un, SecurityScorecard’ın 37 günlük bir süre boyunca C2 botnet’inde gözlemlediği kullanım ömrü sonu Cisco RV320/325 yönlendiricilerin %30’unu (veya 1.116 adetten 325’ini) tehlikeye atmasından sorumlu olduğu görülüyor. Güvenlik sağlayıcısının araştırmacıları, 1 Aralık 2023 ile 7 Ocak 2024 tarihleri arasında ele geçirilen Cisco cihazları ile bilinen Volt Typhoon altyapısı arasında düzenli bağlantılar gözlemledi ve bu da çok aktif bir operasyona işaret etti.
SecurityScorecard’ın araştırması ayrıca Volt Typhoon’un, grubun şu anda hedeflediği Cisco yönlendiricileri ve diğer ağ uç cihazları üzerinde şimdiye kadar bilinmeyen bir Web kabuğu olan “fy.sh”yi dağıttığını da gösterdi. Ayrıca SecurityScorecard, Volt Typhoon etkinliğiyle bağlantılı görünen birden fazla yeni IP adresini tespit edebildi.
Ames, “SecurityScorecard, gözlemlediğimiz yeni tehlikeye atılmış cihazları, daha önce belirtilmemiş web kabuğunu (fy.sh) ve yeni IoC’leri temsil edebilecek diğer IP adreslerini tanımlamak için Volt Typhoon’a bağlı önceden dolaşan IoC’leri kullandı” diyor.
Karada Yaşayan Siber Saldırılar
Volt Tayfunu bir tehdit grubudur ABD Siber Güvenlik ve Altyapı Ajansı (CISA) kendisini ABD’nin kritik altyapı sektörlerini hedef alan, devlet destekli bir Çin tehdit aktörü olarak tanımlıyor. MicrosoftGrup hakkında Mayıs 2023’te ilk rapor veren kişi, grubun en az Mayıs 2021’den beri aktif olduğunu, Çin merkezli olduğunu ve bir dizi arazide yaşama tekniği kullanarak büyük ölçekli siber casusluk yürüttüğünü açıkladı. Şirket, grubun gelecekteki potansiyel çatışmalar sırasında ABD ile Asya arasındaki kritik iletişim yeteneklerini bozacak yetenekler geliştirdiğini değerlendirdi.
Ames, Volt Typhoon’un veri aktarımı için güvenliği ihlal edilmiş yönlendiriciler kullanmasının, grubun gizliliğe olan bağlılığının bir göstergesi olduğunu söylüyor.
“Grup, ele geçirilen yönlendiricilerle aynı bölgedeki kuruluşları hedeflerken coğrafi temelli tespitten kaçınmak için trafiğini sıklıkla bu cihazlar üzerinden yönlendiriyor” diyor. “İlgili trafiğin kuruluşun bulunduğu bölgeden kaynaklandığı görülüyorsa, bu kuruluşların kötü niyetli faaliyetleri fark etme olasılıkları daha düşük olabilir.”
Savunmasız Kullanım Ömrü Sonu Ekipmanların Siber Hedeflenmesi
Ames, Volt Typhoon’un ömrünü tamamlamış cihazları hedeflemesinin de saldırganın bakış açısına göre oldukça anlamlı olduğunu söylüyor. Volt Typhoon’un hedeflediği Cisco RV320 yönlendiricileriyle ilişkili, CVSS ölçeğinde ciddiyet derecesi en az 10 üzerinden 9 olan (CISA’nın Bilinen İstismara Uğrayan Güvenlik Açıkları kataloğunda yer alan ikisi dahil) yaklaşık 35 bilinen kritik güvenlik açığı bulunmaktadır. Cisco, üç yıl önce Ocak 2021’de teknoloji için herhangi bir hata düzeltmesi, bakım sürümü ve onarım yayınlamayı durdurdu. Volt Typhoon bağlantılı botnet, Cisco cihazlarına ek olarak güvenliği ihlal edilmiş eski DrayTek Vigor ve Netgear ProSafe yönlendiricilerini de içeriyor.
Ames, “Cihazların kendileri açısından bakıldığında, bunlar alçakta asılı kalan meyvelerdir” diyor. “‘Kullanım ömrünün sonu’, cihaz üreticilerinin artık onlar için güncelleme yayınlamayacağı anlamına geldiğinden, onları etkileyen güvenlik açıklarının giderilmemesi muhtemeldir ve bu da cihazları tehlikeye açık hale getirir.”
Critical Start’ın siber tehdit araştırmasından sorumlu kıdemli yöneticisi Callie Guenther, Volt Typhoon’un ömrünü tamamlamış Cisco yönlendiricilerini stratejik hedeflemesinin, fy.sh gibi özel araçlar geliştirmesinin ve coğrafi ve sektörel hedeflemesinin son derece karmaşık bir operasyona işaret ettiğini söylüyor.
Günther, “Eski sistemlere odaklanmak, tehdit aktörleri arasında yaygın bir taktik değil; çünkü eski sistemler ve bunların güvenlik açıkları hakkında geniş çapta bilinmeyen veya belgelenmeyen özel bilgiler gerektiriyor” diyor. “Ancak bu, özellikle kapsamlı keşif yapmak ve özel istismarlar geliştirmek için gerekli kaynaklara ve motivasyona sahip devlet destekli aktörler arasında büyüyen bir trend.”
Örnek olarak, sözde tehditleri hedef alan birden fazla tehdit aktörüne işaret ediyor. Ripple20 güvenlik açıkları Milyonlarca eski IoT cihazını etkileyen bir TCP/IP yığınının yanı sıra eski VPN ürünlerindeki kusurları hedef alan Çinli ve İranlı tehdit gruplarında.