ABD hükümeti Çarşamba günü yaptığı açıklamada, Çin bağlantılı devlet destekli bir tehdit aktörü olan Volt Typhoon tarafından ele geçirilen yüzlerce ABD merkezli küçük ofis ve ev ofisi (SOHO) yönlendiricisinden oluşan bir botnet’i etkisiz hale getirmek ve bilgisayar korsanlığının yarattığı etkiyi azaltmak için adımlar attığını söyledi. kampanya.
Botnet’in varlığı KV-botnetilk olarak Lumen Technologies’deki Black Lotus Labs ekibi tarafından Aralık 2023’ün ortasında açıklandı. rapor edildi Reuters tarafından bu hafta başında.
“KV-botnet’i oluşturan yönlendiricilerin büyük çoğunluğu, ‘kullanım ömrü sonu’ durumuna ulaştıkları için savunmasız olan Cisco ve NetGear yönlendiricileriydi; yani artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmiyorlardı.” Adalet Bakanlığı (DoJ) söz konusu bir basın açıklamasında.
Volt Typhoon (diğer adıyla DEV-0391, Bronze Silhouette, Insidious Taurus veya Vanguard Panda), ABD ve Guam’daki kritik altyapı sektörlerini hedef alan siber saldırılara atfedilen, Çin merkezli bir düşman kolektifine verilen takma addır.
CISA Direktörü Jen Easterly, “‘Volt Typhoon’ olarak bilinen bir grup da dahil olmak üzere Çinli siber aktörler, büyük bir kriz veya ABD ile çatışma durumunda yıkıcı siber saldırılar başlatmaya hazır olmak için kritik altyapımızın derinliklerine iniyor.” kayıt edilmiş.
2021’den bu yana aktif olduğuna inanılan siber casusluk grubu, radarın altından uçmak ve hassas verileri toplamak için kurban ortamlarında uzun süre varlığını sürdürmek için meşru araçlara ve arazide yaşama (LotL) tekniklerine güvenmesiyle biliniyor. bilgi.
Çalışma şeklinin bir diğer önemli yönü, trafiği, yönlendiriciler, güvenlik duvarları ve VPN donanımı da dahil olmak üzere güvenliği ihlal edilmiş SOHO ağ ekipmanı üzerinden yönlendirerek, bunların kökenlerini gizlemeye çalışarak normal ağ etkinliğine karışmaya çalışmasıdır.
Bu, gelişmiş kalıcı tehdit aktörleri için gizli bir veri aktarım ağı olarak kullanılmak üzere Cisco, DrayTek, Fortinet ve NETGEAR’ın cihazlarına el koyan KV-botnet aracılığıyla gerçekleştirilir. Botnet operatörlerinin hizmetlerini Volt Typhoon da dahil olmak üzere diğer bilgisayar korsanlığı örgütlerine sunduğundan şüpheleniliyor.
Ocak 2024’te, siber güvenlik firması SecurityScorecard’ın bir raporu, botnet’in, 1 Aralık’tan itibaren 37 günlük bir süre içinde kullanım ömrü sona eren Cisco RV320/325 yönlendiricilerinin %30’unu (veya 1.116’nın 325’ini) ele geçirmekten nasıl sorumlu olduğunu ortaya çıkardı. 2023’ten 7 Ocak 2024’e kadar.
“Volt Typhoon, KV-botnet’in en az bir kullanıcısıdır ve […] Lumen Black Lotus Labs, bu botnet’in operasyonel altyapılarının bir alt kümesini kapsadığını belirterek, botnet’in “en az Şubat 2022’den beri aktif olduğunu” ekledi.
Şirket, The Hacker News’e KV-botnet’in ayrı olarak işletildiğini, arkasındaki tehdit aktörlerinin kendi keşif ve hedeflemelerini gerçekleştirdiğini ve aynı zamanda Volt Typhoon gibi birden fazla grubu desteklediğini söyledi.
Botnet ayrıca, savunmasız yönlendiricilere bir sanal özel ağ (VPN) modülü indirmek ve botnet’i kontrol etmek için doğrudan şifreli bir iletişim kanalı kurmak ve onu operasyonel hedeflerine ulaşmak için bir aracı aktarma düğümü olarak kullanmak üzere tasarlanmıştır.
“KV-botnet’in bir işlevi, virüs bulaşmış SOHO yönlendiricileri arasında şifrelenmiş trafiği ileterek bilgisayar korsanlarının faaliyetlerini anonimleştirmelerine olanak sağlamaktır (yani, bilgisayar korsanları, Çin’deki gerçek bilgisayarları yerine SOHO yönlendiricilerinden çalışıyor gibi görünüyor)”. ABD Federal Soruşturma Bürosu’nun (FBI) sunduğu beyanlara göre.
Ajans, botnet’i bozma çabalarının bir parçası olarak, KV-botnet yükünü silmek ve yeniden virüs bulaşmasını önlemek için kötü amaçlı yazılımın iletişim protokollerini kullanarak ABD’deki yönlendiricileri hedeflemek için uzaktan komutlar verdiğini söyledi. FBI ayrıca her mağduru operasyon hakkında doğrudan ya da iletişim bilgileri mevcut değilse internet servis sağlayıcısı aracılığıyla bilgilendirdiğini söyledi.
Adalet Bakanlığı, “Mahkeme tarafından yetkilendirilen operasyon, KV-botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve bunların botnet ile bağlantısını kesmek için, botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi ek adımlar attı.” diye ekledi.
Yönlendiricileri botnet’ten kaldırmak için kullanılan belirtilmemiş önleme tedbirlerinin geçici olduğunu ve yeniden başlatmadan sonra hayatta kalamayacağını burada belirtmek önemlidir. Başka bir deyişle, cihazların yeniden başlatılması, onları yeniden enfeksiyona açık hale getirecektir.
“Volt Typhoon kötü amaçlı yazılımı, Çin’in, diğer şeylerin yanı sıra, iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapılara karşı operasyon öncesi keşif ve ağ istismarını gizlemesine olanak tanıdı; diğer bir deyişle, Çin’in, bu saldırıları bulmak ve hazırlamak için attığı adımlar FBI Direktörü Christopher Wray, bizi güvende ve refah içinde tutan sivil kritik altyapıyı yok edin veya bozun” dedi. söz konusu.
Ancak Çin hükümeti bir ifade Reuters ile paylaşılan açıklamada, saldırılarla herhangi bir ilgisi olduğu reddedilmiş, bunun bir “dezenformasyon kampanyası” olduğu ve “bilgisayar korsanlığı saldırılarına ve bilgi teknolojisinin kötüye kullanılmasına karşı kategorik bir tutum sergilendiği” ifadeleri yer almıştı.
Yayından kaldırmayla aynı zamana denk gelen ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), SOHO cihaz üreticilerini bir güvenlik önlemi benimsemeye çağıran yeni bir kılavuz yayınladı. tasarım yaklaşımıyla güvenli Geliştirme sırasında yükü müşterilerden uzaklaştırın.
Özellikle, üreticilerin SOHO yönlendirici web yönetimi arayüzlerindeki istismar edilebilir kusurları ortadan kaldırması, otomatik güncelleme yeteneklerini desteklemek için varsayılan cihaz yapılandırmalarını değiştirmesi ve güvenlik ayarlarını kaldırmak için manuel olarak geçersiz kılmayı gerektirmesi tavsiye ediliyor.
Rusya ve Çin tarafından gerçekleştirilen gelişmiş kalıcı saldırılarda kullanılmak üzere yönlendiriciler gibi uç cihazların tehlikeye atılması, eski cihazların artık güvenlik yamaları almaması ve uç nokta algılama ve yanıt (EDR) çözümlerini desteklememesi gerçeğiyle daha da büyüyen büyüyen bir sorunu vurguluyor.
CISA, “Uygun güvenlik kontrollerine sahip olmayan ürünlerin oluşturulması, mevcut tehdit ortamı göz önüne alındığında kabul edilemez” dedi. söz konusu. “Bu vaka, tasarım açısından güvenli uygulamaların eksikliğinin hem müşterilere hem de bu durumda ülkemizin kritik altyapısına gerçek dünyada nasıl zarar verebileceğini gösteriyor.”
(Hikaye yayınlandıktan sonra Lumen Black Lotus Labs’ın ek yorumlarını içerecek şekilde güncellendi.)