Çin destekli tehdit aktörleri, gözlemlenen casusluk amacıyla ABD’deki telekom ağları ve diğer kritik altyapı hedefleri içinde kalıcı erişim sağlamayı başardılar – ve potansiyel olarak, askeri çatışma durumunda hattın aşağısındaki iletişimi kesintiye uğratma yeteneği. Güney Çin Denizi ve daha geniş Pasifik.
bu bir göre Microsoft’tan son dakika soruşturması, gelişmiş kalıcı tehdide (APT) “Volt Typhoon” adını verir. Geçmişte Microsoft, Mandiant ve başka yerlerdeki araştırmacılar tarafından siber casusluk faaliyetleri yürüttüğü gözlemlenen, devlet destekli bilinen bir gruptur.
Casusluk şimdilik amaç gibi görünse de, oyunda daha uğursuz bir amaç olabilir. Analize göre, “Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını kesintiye uğratabilecek yeteneklerin geliştirilmesini sürdürdüğü konusunda orta düzeyde bir güvenle değerlendiriyor.”
Bir rapora göre, tavizin ilk işaretleri Guam’daki telekom ağlarında ortaya çıktı. New York Times raporu bulguların yayınlanmasından önce. Ulusal Güvenlik Teşkilatı bu izinsiz girişleri yaklaşık olarak aynı zamanlarda keşfetti. Çin casus balonu rapora göre ABD hava sahasına girdiği için manşetlere çıkıyordu. Daha sonra, Microsoft’u daha fazla araştırma yapması için görevlendirdi ve sonunda, özellikle hava, iletişim, deniz ve kara taşımacılığı hedeflerine odaklanarak, birden çok sektörde yaygın bir uzlaşma ağı ortaya çıkardı.
Gölge Hedef mi? Kesinti İçin Temel Hazırlanıyor
Faaliyetin keşfi, ABD’nin Pekin ile soğuk ilişkilerinin zemininde oynuyor; İki süper güç, balonun düşürülmesinden bu yana diplomasilerinde duraksadı ve Rusya’nın Ukrayna’yı işgalinin, Çin’i aynı şeyi Tayvan’da yapmaya teşvik etmek.
Times’ın haberine göre, bir askeri kriz durumunda, ABD’nin kritik altyapısına yönelik yıkıcı bir siber saldırı iletişimi bozabilir ve ülkenin Tayvan’ın yardımına gelme yeteneğini engelleyebilir. Veya Mandiant Intelligence – Google Cloud’un baş analisti John Hultquist’e göre, yıkıcı bir saldırı kinetik eylem için bir vekil olarak kullanılabilir.
E-postayla gönderilen bir açıklamada, “Bu operasyonlar agresif ve potansiyel olarak tehlikeli, ancak saldırıların yaklaşmakta olduğunu göstermeleri gerekmiyor” dedi. için çok daha güvenilir bir gösterge [a] yıkıcı ve yıkıcı siber saldırı, kötüleşen bir jeopolitik durumdur. Yıkıcı ve yıkıcı bir siber saldırı da sadece bir savaş senaryosu değildir. Bu yetenek, silahlı çatışmaya alternatif arayan devletler tarafından kullanılabilir.”
Bu tür hazırlıkları “beklenmedik müdahaleler” olarak adlandırarak, Çin’in bunları yürütmede kesinlikle yalnız olmadığını ekledi – Çin destekli APT’lerin tipik olarak imhadan çok siber casusluğa odaklanmasına rağmen.
Hultquist, “Son on yılda Rusya, operasyonlarda anında etki için tasarlandığına inanmadığımız çeşitli kritik altyapı sektörlerini hedef aldı.” “Çinli siber tehdit aktörleri, düzenli olarak yıkıcı ve yıkıcı siber saldırılara başvurmadıkları için meslektaşları arasında benzersizdir. Sonuç olarak, yetenekleri oldukça opaktır.”
Gizlilik ve Casusluk Üzerine Gözlemlenen Bir Odaklanma
İlk erişimi sağlamak için Volt Typhoon, her türden siber saldırgan için popüler bir hedef olan İnternet’e bakan Fortinet FortiGuard cihazlarını tehlikeye atar (Microsoft, bu durumda bunların nasıl ihlal edildiğini hâlâ inceliyor). Kutunun içine girdikten sonra APT, Active Directory hesabından kimlik bilgilerini çıkarmak ve ağdaki diğer cihazlarda kimlik doğrulaması yapmak için cihazın ayrıcalıklarını kullanır.
Analize göre, devlet destekli aktör içeri girdikten sonra “sistem hakkında bilgi bulmak, ağdaki ek cihazları keşfetmek ve verileri sızdırmak için” komut satırını ve arazi dışında yaşayan ikili dosyaları kullanıyor.
Volt Typhoon izlerini örtmek için ağ trafiğini güvenliği ihlal edilmiş küçük ofis/ev ofisi (SOHO) yönlendiricileri ve ASUS, Cisco, D-Link, NETGEAR ve Zyxel’in diğer uç cihazları aracılığıyla temsil eder – bu da normal ağ etkinliğine karışmasına olanak tanır. Microsoft araştırmacıları kaydetti.
Gönderi ayrıca hafifletme tavsiyeleri ve uzlaşma göstergeleri sağlıyor ve NSA bir tandem yayınladı Volt Typhoon ile ilgili danışma (PDF) tehdidin nasıl aranacağına ilişkin ayrıntıları içerir.