ABD istihbarat teşkilatlarından oluşan bir koalisyon Çarşamba günü yaptığı açıklamada, Çin destekli bilgisayar korsanlarının uzun vadeli “yıkıcı” siber saldırılar başlatma hedefiyle “en az beş yıl” boyunca Amerikan kritik altyapısına erişimi sürdürdükleri konusunda uyardı.
Çin merkezli, devlet destekli bir hacker grubu olan Volt Typhoon, havacılık, demiryolu, toplu taşıma, otoyol, denizcilik, boru hattı, su ve kanalizasyon kuruluşlarının (hiçbirinin adı verilmeyen) ağlarına girerek, NSA, CISA ve FBI, kendilerini yıkıcı siber saldırılara karşı önceden konumlandırdıklarını söyledi. Çarşamba günü yayınlanan ortak bir danışma belgesi.
Ajanslar, bunun Çin destekli bilgisayar korsanlarının geleneksel siber casusluk veya istihbarat toplama operasyonlarında “stratejik bir değişime” işaret ettiğini, bunun yerine büyük bir çatışma veya kriz durumunda operasyonel teknolojiyi bozmaya hazırlandıklarını söyledi.
Birleşik Krallık, Avustralya, Kanada ve Yeni Zelanda’daki siber güvenlik kurumlarının ortak imzaladığı tavsiye belgesinin yayınlanması, FBI Direktörü Christopher Wray’in benzer uyarısından bir hafta sonra geldi. ABD Temsilciler Meclisi komitesinin Çin’den kaynaklanan siber tehditlerle ilgili duruşmasında konuşan Wray, Volt Typhoon’u “bizim neslimizin belirleyici tehdidi” olarak nitelendirdi ve grubun amacının, bir saldırının ilk aşamalarında “ordumuzun harekete geçme yeteneğini bozmak” olduğunu söyledi. Çin’in kendi toprağı olduğunu iddia ettiği Tayvan konusunda çatışma bekleniyor.
Çarşamba günkü teknik tavsiyeye göre Volt Typhoon, ülke çapındaki kritik altyapıya ilk erişimi sağlamak için yönlendiriciler, güvenlik duvarları ve VPN’lerdeki güvenlik açıklarından yararlanıyor. Danışmana göre, Çin destekli bilgisayar korsanları bu sistemlere erişimi sürdürmek için genellikle çalınan yönetici kimlik bilgilerinden yararlandı ve bazı durumlarda erişimi “en az beş yıl” boyunca sürdürdüler.
Bu erişim, devlet destekli bilgisayar korsanlarının “sunucu odalarındaki ısıtma, havalandırma ve iklimlendirme (HVAC) sistemlerini manipüle etmek veya kritik enerji ve su kontrollerini bozarak önemli altyapı arızalarına yol açmak” gibi potansiyel kesintileri gerçekleştirmesine olanak tanıdığı konusunda uyardı. Bazı durumlarda Volt Typhoon korsanları, kritik altyapı tesislerindeki kameralı gözetim sistemlerine erişme olanağına sahip oldu; ancak bunu yapıp yapmadıkları belli değil.
Volt Typhoon ayrıca saldırganların uzun vadeli, keşfedilmemiş kalıcılığı sürdürmek için hedef sistemde zaten mevcut olan meşru araçları ve özellikleri kullandığı arazide yaşama tekniklerini de kullandı. Bilgisayar korsanları ayrıca tespit edilmekten kaçınmak amacıyla “kapsamlı bir uzlaşma öncesi keşif” yürütüyor. Danışman, “Örneğin, bazı durumlarda Volt Typhoon aktörleri, anormal hesap faaliyetleriyle ilgili güvenlik uyarılarının tetiklenmesini önlemek için normal çalışma saatleri dışında ele geçirilen kimlik bilgilerini kullanmaktan kaçınmış olabilir” dedi.
Çarşamba günü yapılan bir telefon görüşmesinde ABD istihbarat teşkilatlarından üst düzey yetkililer, Volt Typhoon’un “bu tür faaliyetler yürüten tek Çin devlet destekli siber aktör olmadığı” konusunda uyardı ancak takip ettikleri diğer grupların isimlerini vermedi.
Geçtiğimiz hafta FBI ve ABD Adalet Bakanlığı, Volt Typhoon tarafından işletilen ve küçük işletmeler ve ev ofisleri için yüzlerce ABD merkezli yönlendiriciyi tehlikeye atan “KV Botnet”i bozduklarını duyurdu. FBI, kötü amaçlı yazılımı ele geçirilen yönlendiricilerden kaldırabildiğini ve bunların Çin devleti destekli bilgisayar korsanlarıyla bağlantısını kesebildiğini söyledi.
Mayıs 2023 raporuna göre yayınlanan Microsoft tarafından Volt Typhoon, en azından 2021’in ortasından bu yana ABD’nin kritik altyapısını hedef alıyor ve ihlal ediyor.