ABD kolluk kuvvetleri, Volt Typhoon olarak bilinen, Çin’in sponsor olduğu kötü şöhretli siber saldırı grubunun altyapısını bozdu.
FBI Direktörü’nün geliştirdiği gelişmiş kalıcı tehdit (APT) Christopher Wray bu hafta şöyle dedi: “Bu çağın tanımlayıcı siber tehdidi”, çeşitli ağlardan ödün verilerek oluşturulan genişleyen bir botnet’i yönetmesiyle biliniyor. zayıf korunan küçük ofis/ev ofisi (SOHO) yönlendiricileri. Devlet destekli grup bunu, özellikle ABD’nin kritik altyapısına yönelik diğer saldırılar için bir fırlatma rampası olarak kullanıyor çünkü botnet’in dağıtılmış yapısı, etkinliğin izlenmesini zorlaştırıyor.
Sonra Volt Typhoon’un yayından kaldırıldığı bildirildi Reuters tarafından bu hafta başında ABD’li yetkililer icra eylemini onayladı dün geç vakitlerde. FBI, saldırganın komuta ve kontrol (C2) ağını taklit ederek grup tarafından kullanılan “KV Botnet” kötü amaçlı yazılımının bulaştığı yönlendiricilere uzaktan öldürme anahtarı gönderdiğini duyurdu.
FBI’ın açıklamasına göre “Mahkeme yetkilisi operasyon, KV Botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve botnet’i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi, botnet ile bağlantılarını kesmek için ek adımlar attı.”
“KV Botnet’i oluşturan yönlendiricilerin büyük çoğunluğunun, ‘kullanım ömrü sonu’ durumuna ulaştıkları için savunmasız olan Cisco ve Netgear yönlendiricileri olduğunu; yani artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmediklerini ekledi. “
Yüzlerce küçük işletmenin sahip olduğu son teknoloji donanıma sessizce ulaşmak endişe verici görünse de Fed, bunun hiçbir bilgiye erişmediğini ve yönlendiricilerin hiçbir meşru işlevini etkilemediğini vurguladı. Yönlendirici sahipleri, cihazları yeniden başlatarak bu hafifletici etkenleri ortadan kaldırabilir; ancak bu, cihazların yeniden enfeksiyona karşı duyarlı olmasına neden olur.
Volt Typhoon’un Endüstriyel Saldırısı Devam Edecek
Volt Typhoon (diğer adıyla Bronze Silhouette ve Vanguard Panda), Çin’in kamu hizmetlerine, enerji sektörü şirketlerine sızmaya yönelik daha geniş bir çabasının bir parçası. askeri üsler, telekom şirketlerive endüstriyel sitelere, yıkıcı ve yıkıcı saldırılara hazırlık olarak dayanak noktası olan kötü amaçlı yazılımlar yerleştirmek için. Wray ve diğer yetkililer bu hafta, amacın Tayvan nedeniyle kinetik bir savaşın başlaması veya Güney Çin Denizi’ndeki ticaret sorunları durumunda ABD’nin tepki verme kabiliyetine zarar verecek konumda olmak olduğu konusunda uyardı.
Bu büyüyen bir Çin’in olağan bilgisayar korsanlığı ve casusluk operasyonlarından ayrılma. “Kamu hizmetleri ve su gibi kritik hizmetlere odaklanan siber savaş, farklı bir oyunun sonuna işaret ediyor [than cyber espionage]BlueVoyant’ın küresel profesyonel hizmetler başkanı ve eski bir FBI siber bölümü özel ajanı olan Austin Berglas şöyle diyor: “Artık avantaja değil, hasara ve kalelere odaklanılıyor.”
Yönlendiricinin yeniden başlatılmasının cihazları yeniden enfeksiyona açık hale getirdiği ve Volt Typhoon’un kritik altyapı ocağına karşı gizli saldırılar başlatmak için kesinlikle başka yollara sahip olduğu gerçeği göz önüne alındığında, yasal işlemin APT için yalnızca geçici bir kesinti olması kaçınılmazdır; FBI açıklamasında bunu kabul etti.
Darktrace’in küresel tehdit analizi başkanı Toby Lewis, e-posta yoluyla şunları söyledi: “ABD hükümetinin eylemleri muhtemelen Volt Typhoon’un altyapısını önemli ölçüde bozdu, ancak saldırganların kendisi serbest kaldı.” “Altyapıyı hedeflemek ve saldırganın yeteneklerini ortadan kaldırmak, genellikle aktörlerin yeniden inşa edip yeniden düzenleyecekleri bir sessizliğe yol açıyor ki bunu muhtemelen şimdi göreceğiz.”
Buna rağmen iyi haber şu ki, kesinti konusunda Fed’lerle birlikte çalışan Mandiant Intelligence – Google Cloud’un başkan yardımcısı Sandra Joyce, ABD’nin artık Çin’in strateji ve taktiklerini “anlamış” olduğunu söylüyor. Volt Typhoon’un, radar altında kalmak amacıyla faaliyetlerinin kaynağını sürekli olarak değiştirmek için dağıtılmış bir botnet kullanmanın yanı sıra, savunucuların kendilerini ağlar arasında avlamak için kullandıkları imzaları da azalttığını ve ayakta kalabilecek herhangi bir ikili programın kullanımından kaçındıklarını söylüyor. uzlaşma göstergeleri (IoC’ler) olarak ortaya çıkar.
Yine de Joyce, “Bunun gibi etkinlikleri takip etmek son derece zor ama imkansız değil” diyor. “Volt Typhoon’un amacı sessizce kazmaktı dikkati kendi üzerine çekmeden bir beklenmedik durum için. Neyse ki Volt Typhoon gözden kaçmadı ve av zorlu olsa da istihbarat toplamayı geliştirmek ve bu aktörü engellemek için şimdiden uyum sağlıyoruz. Geldiklerini görüyoruz, onları nasıl tanımlayacağımızı biliyoruz ve en önemlisi hedefledikleri ağları nasıl güçlendireceğimizi biliyoruz.”