يزيد إعصار فولت من الأنشطة الضارة ضد البنية التحتية الحيوية

تستهدف مجموعة التجسس الإلكتروني المدعومة من الصين Volt Typhoon بشكل منهجي أجهزة Cisco القديمة في حملة متطورة وخفية لتنمية بنيتها التحتية الهجومية.

في العديد من الحالات، يستغل ممثل التهديد، المعروف باستهداف البنية التحتية الحيوية، اثنتين من نقاط الضعف من عام 2019 في أجهزة التوجيه، لاقتحام الأجهزة المستهدفة والسيطرة عليها.

استهداف قطاعات البنية التحتية الحيوية في الولايات المتحدة

اكتشف باحثون من فريق استخبارات التهديدات التابع لـ SecurityScorecard النشاط عند إجراء بعض تحقيقات المتابعة على البائعين الجدد و تقارير وسائل الاعلام حول اقتحام فولت تايفون مؤسسات البنية التحتية الحيوية في الولايات المتحدة وتمهيد الطريق لاضطرابات مستقبلية محتملة. واستهدفت الهجمات مرافق المياه وموردي الطاقة وأنظمة النقل والاتصالات. وكان من بين ضحايا المجموعة منظمات في الولايات المتحدة والمملكة المتحدة وأستراليا.

تقارير أحد البائعين، من تجويف عضو، وصف شبكة الروبوتات التي تتكون من أجهزة توجيه المكاتب الصغيرة/المكاتب المنزلية (SOHO). التي تستخدمها Volt Typhoon - وغيرها من مجموعات التهديد الصينية - كشبكة قيادة وسيطرة (C2) في الهجمات ضد الشبكات ذات القيمة العالية. تتكون الشبكة التي وصفها Lumen في التقرير بشكل أساسي من أجهزة توجيه منتهية الصلاحية من Cisco، وDrayTek، وبدرجة أقل، Netgear.

استخدم باحثو SecurityScorecard مؤشرات التسوية (IoCs) التي أصدرتها Lumen مع تقريرها لمعرفة ما إذا كان بإمكانهم تحديد البنية التحتية الجديدة المرتبطة بحملة Volt Typhoon. ال تحقيق أظهر أن نشاط مجموعة التهديد قد يكون أكثر اتساعًا مما كان يُعتقد سابقًا، كما يقول Rob Ames، باحث التهديدات لدى فريق العمل في SecurityScorecard.

على سبيل المثال، يبدو أن Volt Typhoon كان مسؤولاً عن اختراق ما يصل إلى 30% - أو 325 من 1,116 - من أجهزة توجيه Cisco RV320/325 المنتهية والتي لاحظتها SecurityScorecard على شبكة الروبوتات C2 على مدار 37 يومًا. لاحظ باحثو الشركة الأمنية اتصالات منتظمة بين أجهزة Cisco المخترقة والبنية التحتية المعروفة لـ Volt Typhoon في الفترة ما بين 1 ديسمبر 2023 و7 يناير 2024، مما يشير إلى وجود عملية نشطة للغاية.

أظهر بحث SecurityScorecard أيضًا أن Volt Typhoon ينشر "fy.sh"، وهو غلاف ويب غير معروف حتى الآن على أجهزة توجيه Cisco وأجهزة حافة الشبكة الأخرى التي تستهدفها المجموعة حاليًا. بالإضافة إلى ذلك، تمكن SecurityScorecard من تحديد عدة عناوين IP جديدة ظهرت مرتبطة بنشاط Volt Typhoon.

يقول أميس: "استخدمت SecurityScorecard IoCs التي تم توزيعها سابقًا والمرتبطة بـ Volt Typhoon لتحديد الأجهزة المخترقة حديثًا التي لاحظناها، وwebshell غير المحدد سابقًا (fy.sh)، وعناوين IP الأخرى التي قد تمثل IoCs جديدة".

الهجمات الإلكترونية التي تعيش خارج الأرض

فولت تايفون هي مجموعة التهديد التي الوكالة الأمريكية للأمن السيبراني والبنية التحتية (CISA) تم تحديده على أنه جهة تهديد صينية ترعاها الدولة وتستهدف قطاعات البنية التحتية الحيوية في الولايات المتحدة. مایکروسافت، أول من قدم تقريرًا عن المجموعة في مايو 2023، ووصفها بأنها نشطة منذ مايو 2021 على الأقل، ومقرها في الصين، وتجري تجسسًا إلكترونيًا واسع النطاق باستخدام عدد كبير من تقنيات العيش خارج الأرض. قامت الشركة بتقييم المجموعة على أنها تعمل على تطوير القدرات لتعطيل قدرات الاتصالات الحيوية بين الولايات المتحدة وآسيا خلال الصراعات المستقبلية المحتملة.

يقول أميس إن استخدام Volt Typhoon لأجهزة التوجيه المخترقة لنقل البيانات هو أحد المؤشرات على التزام المجموعة بالتخفي.

ويقول: "غالبًا ما تقوم المجموعة بتوجيه حركة المرور الخاصة بها عبر هذه الأجهزة لتجنب الاكتشاف الجغرافي عند استهداف المؤسسات في نفس المنطقة مثل أجهزة التوجيه المخترقة". "قد تكون هذه المنظمات أقل عرضة لملاحظة النشاط الضار إذا بدا أن حركة المرور المعنية تأتي من المنطقة التي يوجد بها مقر المنظمة."

الاستهداف الإلكتروني للمعدات الضعيفة التي انتهت صلاحيتها

يقول أميس إن استهداف Volt Typhoon للأجهزة المنتهية الصلاحية أمر منطقي أيضًا من وجهة نظر المهاجم. هناك حوالي 35 نقطة ضعف حرجة معروفة بتصنيف خطورة لا يقل عن 9 من أصل 10 على مقياس CVSS - بما في ذلك اثنتين في كتالوج الثغرات الأمنية المعروفة المستغلة من CISA - المرتبطة بأجهزة توجيه Cisco RV320 التي استهدفتها Volt Typhoon. توقفت Cisco عن إصدار أي إصلاحات للأخطاء وإصدارات الصيانة والإصلاحات للتكنولوجيا منذ ثلاث سنوات، في يناير 2021. بالإضافة إلى أجهزة Cisco، تشتمل شبكة الروبوتات المرتبطة بـ Volt Typhoon أيضًا على أجهزة توجيه DrayTek Vigor وNetgear ProSafe القديمة المخترقة.

يقول أميس: "من وجهة نظر الأجهزة نفسها، فهي ثمار سهلة المنال". "نظرًا لأن "نهاية العمر الافتراضي" تعني أن منتجي الأجهزة لن يصدروا تحديثات لهم بعد الآن، فمن المرجح أن تظل نقاط الضعف التي تؤثر عليهم دون معالجة، مما يجعل الأجهزة عرضة للاختراق."

يقول كالي غوينثر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إن الاستهداف الاستراتيجي لشركة Volt Typhoon لأجهزة توجيه Cisco المنتهية، وتطويرها لأدوات مخصصة مثل fy.sh، واستهدافها الجغرافي والقطاعي، يشير إلى عملية معقدة للغاية.

يقول غونتر: "إن التركيز على الأنظمة القديمة ليس تكتيكًا شائعًا بين الجهات الفاعلة في مجال التهديد، وذلك في المقام الأول لأنه يتطلب معرفة محددة حول الأنظمة القديمة ونقاط ضعفها، والتي قد لا تكون معروفة أو موثقة على نطاق واسع". "ومع ذلك، فإن هذا اتجاه متزايد، خاصة بين الجهات الفاعلة التي ترعاها الدولة والتي لديها الموارد والحافز لإجراء استطلاع واسع النطاق وتطوير عمليات استغلال مخصصة".

وكأمثلة، تشير إلى جهات تهديد متعددة تستهدف ما يسمى ب نقاط الضعف Ripple20 في حزمة TCP/IP التي أثرت على الملايين من أجهزة إنترنت الأشياء القديمة، بالإضافة إلى مجموعات التهديد الصينية والإيرانية التي تستهدف العيوب في منتجات VPN القديمة.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure