ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çin destekli Volt Typhoon gelişmiş kalıcı tehdidin (APT) nasıl etkilendiğini ayrıntılarıyla anlatan bir rapor yayınladı. sürekli olarak son derece hassas kritik altyapıyı hedefliyorSiber saldırganların içeri girdikten sonra operasyonel teknoloji (OT) ağlarına yönelmelerine ilişkin yeni bilgiler.
OT ağının endüstriyel kontrol sistemlerinin (ICS) ve denetleyici kontrol ve veri toplama (SCADA) ekipmanlarının fiziksel işlevlerinden sorumlu olduğu göz önüne alındığında, bulgular bu durumu açıkça doğrulamaktadır. devam eden şüphe Çinli hackerların enerjideki kritik fiziksel operasyonları bozmayı amaçladıkları, Su hizmetleribir olay durumunda muhtemelen paniğe ve anlaşmazlığa neden olmak için iletişim ve ulaşım ABD ile Çin arasında kinetik çatışma.
“Volt Typhoon aktörleri, işlevleri kesintiye uğratmak amacıyla OT varlıklarına yanal hareket sağlamak için kendilerini BT ağlarında önceden konumlandırıyorlar.” CISA’nın Volt Typhoon tavsiyesi. [We] “Potansiyel jeopolitik gerilimler ve/veya askeri çatışmalar durumunda bu aktörlerin ağ erişimlerini yıkıcı etkiler için kullanma potansiyeli konusunda endişe duyuyoruz.”
Mandiant Intelligence/Google Cloud’un baş analisti John Hultquist’e göre bu, önemli bir dizi açıklama.
“Önceden hedeflemeden oyuncunun sahip olduğu sonucu çıkarabiliyorduk. Kritik altyapıya yoğun ilgi E-postayla gönderilen bir analizde bunun istihbarat değeri çok azdı” dedi. Ancak CISA raporu şunu gösteriyor: “Volt Typhoon, kritik altyapının kalbindeki fiziksel süreçleri çalıştıran son derece hassas sistemler olan OT sistemleri hakkında bilgi topluyor ve hatta bu sistemlere giriyor diye ekledi. “Doğru koşullar altında, OT sistemleri manipüle edilebilir temel hizmetlerin büyük ölçüde kapanmasına neden olabilir, hatta tehlikeli koşullar yaratabilir.”
Hultquist şunu ekledi: “Bu aktörün bu izinsiz girişleri neden gerçekleştirdiği konusunda herhangi bir şüphe varsa, bu açıklama bunu ortadan kaldırmalıdır.”
5 Yıl Boyunca Arazide Yaşamak ve Saklanmak
CISA bugün ayrıca Volt Typhoon’un (diğer adıyla Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite ve Insidious Taurus) ilk on yıl boyunca ABD altyapısında gizlice saklandığını ortaya çıkardı. Microsoft tarafından kamuya duyuruldu sadece geçen yıl.
“Amacı hızla içeri girip zarar vermek olan fidye yazılımı operatörlerinin aksine, bu ulus devlet operatörü geçerli hesaplardan yararlanıyor ve ‘toprakla geçinmek’ [LOTL] Panther Lab’ın saha CISO’su Ken Westin, e-postayla gönderdiği bir yorumda şunları söyledi: “Bu yöntemler, grubun hedeflerini izlemesine ve kinetik hasara neden olacak bir dayanak sağlamasına olanak tanıyor.”
Önyükleme için APT “aynı zamanda geçerli hesaplara ve kaldıraçlara da güveniyor[s] CISA, “uzun vadeli keşfedilmemiş kalıcılığa izin veren güçlü operasyonel güvenlik” diye açıkladı. “Volt Typhoon aktörleri, hedef kuruluş ve çevresi hakkında bilgi edinmek için kapsamlı bir sömürü öncesi keşif gerçekleştiriyor; taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) mağdurun ortamına göre uyarlamak; ve devam eden kaynakları, ilk uzlaşmadan sonra bile zaman içinde kalıcılığı sürdürmek ve hedef ortamı anlamak için ayırın.”
Volt Typhoon’un meşru yardımcı programları kullanarak gizli kalma ve normal trafiğe uyum sağlama stratejisi siber suçlarda yeni bir olgu değilgöre, potansiyel hedeflerin kötü amaçlı etkinlikleri aktif olarak taramasını zorlaştırıyor. Kapsamlı LOTL kılavuzu yayınlayan CISA bugün tam da bunu yaptığın için.
Bu arada, bir altyapı güncellemesi, bazı durumlarda maliyetli ve emek yoğun bir forklift değişimi gerektirse de, ters gitmeyebilir.
Westin, “Hedeflenen OT ortamlarının çoğu, sistemlerin güncellenememesi durumunda ihmal veya zorunluluk nedeniyle güncelliğini yitirmiş yazılımları çalıştırmasıyla ünlüdür ve bu da bu tehdidin oluşturduğu riski artırır” dedi.
CISA, endişe verici bir şekilde, tehlikenin ABD’nin ötesine de uzandığını kaydetti. Geçen ay, SecurityScorecard’ın STRIKE ekibi Volt Typhoon ile bağlantılı yeni bir altyapı tespit etti ve bu, APT’nin aynı zamanda Avustralya ve Birleşik Krallık hükümet varlıklarını da hedef aldığını gösterdi. CISA raporu, bu riski Kanada ve Yeni Zelanda’yı da kapsayacak şekilde genişletiyor; bu ABD’li ortakların tümünün altyapısı aynı zamanda ulus devlet aktörlerine karşı da hassas olduğu konusunda uyardı.
CISA’nın tavsiyesi bir olayın hemen ardından geldi hükümetin düzeni bozmaya yönelik eylemi Grubun küçük ofis/ev ofisi (SOHO) yönlendirici botnet’i faaliyetini takip edenleri atın.