تستهدف مجموعة التجسس الإلكتروني المدعومة من الصين Volt Typhoon بشكل منهجي أجهزة Cisco القديمة في حملة متطورة وخفية لتنمية بنيتها التحتية الهجومية.
في العديد من الحالات، يستغل ممثل التهديد، المعروف باستهداف البنية التحتية الحيوية، اثنتين من نقاط الضعف من عام 2019 في أجهزة التوجيه، لاقتحام الأجهزة المستهدفة والسيطرة عليها.
استهداف قطاعات البنية التحتية الحيوية في الولايات المتحدة
اكتشف باحثون من فريق استخبارات التهديدات التابع لـ SecurityScorecard النشاط عند إجراء بعض تحقيقات المتابعة على البائعين الجدد و تقارير وسائل الاعلام حول اقتحام فولت تايفون مؤسسات البنية التحتية الحيوية في الولايات المتحدة وتمهيد الطريق لاضطرابات مستقبلية محتملة. واستهدفت الهجمات مرافق المياه وموردي الطاقة وأنظمة النقل والاتصالات. وكان من بين ضحايا المجموعة منظمات في الولايات المتحدة والمملكة المتحدة وأستراليا.
تقارير أحد البائعين، من تجويف عضو، وصف شبكة الروبوتات التي تتكون من أجهزة توجيه المكاتب الصغيرة/المكاتب المنزلية (SOHO). التي تستخدمها Volt Typhoon - وغيرها من مجموعات التهديد الصينية - كشبكة قيادة وسيطرة (C2) في الهجمات ضد الشبكات ذات القيمة العالية. تتكون الشبكة التي وصفها Lumen في التقرير بشكل أساسي من أجهزة توجيه منتهية الصلاحية من Cisco، وDrayTek، وبدرجة أقل، Netgear.
استخدم باحثو SecurityScorecard مؤشرات التسوية (IoCs) التي أصدرتها Lumen مع تقريرها لمعرفة ما إذا كان بإمكانهم تحديد البنية التحتية الجديدة المرتبطة بحملة Volt Typhoon. ال تحقيق أظهر أن نشاط مجموعة التهديد قد يكون أكثر اتساعًا مما كان يُعتقد سابقًا، كما يقول Rob Ames، باحث التهديدات لدى فريق العمل في SecurityScorecard.
على سبيل المثال، يبدو أن Volt Typhoon كان مسؤولاً عن اختراق ما يصل إلى 30% - أو 325 من 1,116 - من أجهزة توجيه Cisco RV320/325 المنتهية والتي لاحظتها SecurityScorecard على شبكة الروبوتات C2 على مدار 37 يومًا. لاحظ باحثو الشركة الأمنية اتصالات منتظمة بين أجهزة Cisco المخترقة والبنية التحتية المعروفة لـ Volt Typhoon في الفترة ما بين 1 ديسمبر 2023 و7 يناير 2024، مما يشير إلى وجود عملية نشطة للغاية.
أظهر بحث SecurityScorecard أيضًا أن Volt Typhoon ينشر "fy.sh"، وهو غلاف ويب غير معروف حتى الآن على أجهزة توجيه Cisco وأجهزة حافة الشبكة الأخرى التي تستهدفها المجموعة حاليًا. بالإضافة إلى ذلك، تمكن SecurityScorecard من تحديد عدة عناوين IP جديدة ظهرت مرتبطة بنشاط Volt Typhoon.
يقول أميس: "استخدمت SecurityScorecard IoCs التي تم توزيعها سابقًا والمرتبطة بـ Volt Typhoon لتحديد الأجهزة المخترقة حديثًا التي لاحظناها، وwebshell غير المحدد سابقًا (fy.sh)، وعناوين IP الأخرى التي قد تمثل IoCs جديدة".
الهجمات الإلكترونية التي تعيش خارج الأرض
فولت تايفون هي مجموعة التهديد التي الوكالة الأمريكية للأمن السيبراني والبنية التحتية (CISA) تم تحديده على أنه جهة تهديد صينية ترعاها الدولة وتستهدف قطاعات البنية التحتية الحيوية في الولايات المتحدة. مایکروسافت، أول من قدم تقريرًا عن المجموعة في مايو 2023، ووصفها بأنها نشطة منذ مايو 2021 على الأقل، ومقرها في الصين، وتجري تجسسًا إلكترونيًا واسع النطاق باستخدام عدد كبير من تقنيات العيش خارج الأرض. قامت الشركة بتقييم المجموعة على أنها تعمل على تطوير القدرات لتعطيل قدرات الاتصالات الحيوية بين الولايات المتحدة وآسيا خلال الصراعات المستقبلية المحتملة.
يقول أميس إن استخدام Volt Typhoon لأجهزة التوجيه المخترقة لنقل البيانات هو أحد المؤشرات على التزام المجموعة بالتخفي.
ويقول: "غالبًا ما تقوم المجموعة بتوجيه حركة المرور الخاصة بها عبر هذه الأجهزة لتجنب الاكتشاف الجغرافي عند استهداف المؤسسات في نفس المنطقة مثل أجهزة التوجيه المخترقة". "قد تكون هذه المنظمات أقل عرضة لملاحظة النشاط الضار إذا بدا أن حركة المرور المعنية تأتي من المنطقة التي يوجد بها مقر المنظمة."
الاستهداف الإلكتروني للمعدات الضعيفة التي انتهت صلاحيتها
يقول أميس إن استهداف Volt Typhoon للأجهزة المنتهية الصلاحية أمر منطقي أيضًا من وجهة نظر المهاجم. هناك حوالي 35 نقطة ضعف حرجة معروفة بتصنيف خطورة لا يقل عن 9 من أصل 10 على مقياس CVSS - بما في ذلك اثنتين في كتالوج الثغرات الأمنية المعروفة المستغلة من CISA - المرتبطة بأجهزة توجيه Cisco RV320 التي استهدفتها Volt Typhoon. توقفت Cisco عن إصدار أي إصلاحات للأخطاء وإصدارات الصيانة والإصلاحات للتكنولوجيا منذ ثلاث سنوات، في يناير 2021. بالإضافة إلى أجهزة Cisco، تشتمل شبكة الروبوتات المرتبطة بـ Volt Typhoon أيضًا على أجهزة توجيه DrayTek Vigor وNetgear ProSafe القديمة المخترقة.
يقول أميس: "من وجهة نظر الأجهزة نفسها، فهي ثمار سهلة المنال". "نظرًا لأن "نهاية العمر الافتراضي" تعني أن منتجي الأجهزة لن يصدروا تحديثات لهم بعد الآن، فمن المرجح أن تظل نقاط الضعف التي تؤثر عليهم دون معالجة، مما يجعل الأجهزة عرضة للاختراق."
يقول كالي غوينثر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إن الاستهداف الاستراتيجي لشركة Volt Typhoon لأجهزة توجيه Cisco المنتهية، وتطويرها لأدوات مخصصة مثل fy.sh، واستهدافها الجغرافي والقطاعي، يشير إلى عملية معقدة للغاية.
يقول غونتر: "إن التركيز على الأنظمة القديمة ليس تكتيكًا شائعًا بين الجهات الفاعلة في مجال التهديد، وذلك في المقام الأول لأنه يتطلب معرفة محددة حول الأنظمة القديمة ونقاط ضعفها، والتي قد لا تكون معروفة أو موثقة على نطاق واسع". "ومع ذلك، فإن هذا اتجاه متزايد، خاصة بين الجهات الفاعلة التي ترعاها الدولة والتي لديها الموارد والحافز لإجراء استطلاع واسع النطاق وتطوير عمليات استغلال مخصصة".
وكأمثلة، تشير إلى جهات تهديد متعددة تستهدف ما يسمى ب نقاط الضعف Ripple20 في حزمة TCP/IP التي أثرت على الملايين من أجهزة إنترنت الأشياء القديمة، بالإضافة إلى مجموعات التهديد الصينية والإيرانية التي تستهدف العيوب في منتجات VPN القديمة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- :لديها
- :يكون
- :ليس
- $ UP
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35%
- 7
- 9
- a
- ماهرون
- من نحن
- نشط
- نشاط
- الجهات الفاعلة
- إضافة
- عناوين
- تتأثر
- تؤثر
- ضد
- وكالة
- منذ
- أيضا
- من بين
- و
- والبنية التحتية
- أي وقت
- ظهر
- يبدو
- هي
- المنطقة
- AS
- آسيا
- تقييم
- أسوشيتد
- At
- مهاجمة
- الهجمات
- أستراليا
- تجنب
- الى الخلف
- على أساس
- BE
- لان
- كان
- يجري
- ما بين
- الروبوتات
- استراحة
- كسر
- علة
- الحملات
- قدرات
- الأقسام
- الصين
- الصينية
- سيسكو
- التزام
- مشترك
- مجال الاتصالات
- نظم الاتصالات
- حول الشركة
- تتألف
- حل وسط
- تسوية
- مساومة
- إدارة
- إجراء
- الصراعات
- التواصل
- يتكون
- مراقبة
- استطاع
- زوجان
- حرج
- بنية تحتية حرجة
- حاليا
- على
- الانترنت
- الأمن السيبراني
- البيانات
- ديسمبر
- نشر
- وصف
- كشف
- تطوير
- تطوير
- التطوير التجاري
- الأجهزة
- تعطيل
- الاضطرابات
- فعل
- أثناء
- حافة
- خاصة
- تجسس
- مثال
- أمثلة
- استغلال
- استغلال
- مآثر
- واسع
- مدى
- الاسم الأول
- إصلاحات
- العيوب
- التركيز
- في حالة
- تبدأ من
- مستقبل
- FY
- الجغرافية
- جغرافيا
- Go
- أرض
- تجمع
- مجموعات
- النمو
- متزايد
- يملك
- he
- جدا
- لكن
- HTTPS
- محدد
- تحديد
- if
- in
- شامل
- يشمل
- بما فيه
- إشارة
- من مؤشرات
- البنية التحتية
- رؤيتنا
- إلى
- التحقيقات
- المشاركة
- قام المحفل
- أجهزة IOT
- IP
- عناوين الانترنت بروتوكول
- إيراني
- قضية
- إصدار
- IT
- انها
- يناير
- يناير
- ٢٨
- JPG
- المعرفة
- معروف
- على نطاق واسع
- وضع
- الأقل
- مغادرة
- إرث
- أقل
- مثل
- على الأرجح
- مرتبط
- يعد
- الكثير
- تجويف عضو
- في الأساس
- صيانة
- يصنع
- خبيث
- مدير
- كثير
- مايو..
- يعني
- مایکروسافت
- ربما
- ملايين
- الأكثر من ذلك
- التحفيز
- كثيرا
- متعدد
- شبكة
- الشبكات
- جديد
- حديثا
- لا
- يلاحظ..
- of
- Office
- غالبا
- أقدم
- on
- ONE
- عملية
- or
- طلب
- منظمة
- المنظمات
- أخرى
- خارج
- على مدى
- فترة
- منظور
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- محتمل
- قوة
- سابقا
- في المقام الأول
- المنتجين
- المنتجات
- سلالم
- تصنيف
- الأخيرة
- منتظم
- صدر
- النشرات
- تقرير
- التقارير
- مثل
- يتطلب
- بحث
- الباحث
- الباحثين
- الموارد
- مسؤول
- سلب
- طرق
- s
- نفسه
- يقول
- حجم
- قطاعي
- قطاعات
- أمن
- انظر تعريف
- كبير
- إحساس
- هي
- قذيفة
- أظهرت
- منذ
- الأصغر
- بعض
- متطور
- محدد
- كومة
- فريق العمل
- بداية
- الشبح الأسود
- مسترق
- توقف
- إستراتيجي
- اقترح
- الموردين
- عرضة
- أنظمة
- تناسب
- أخذ
- الهدف
- المستهدفة
- استهداف
- TCP / IP
- فريق
- تقنيات
- تكنولوجيا
- من
- أن
- •
- المنطقة
- من مشاركة
- منهم
- أنفسهم
- هناك.
- تشبه
- هم
- فكر
- التهديد
- الجهات التهديد
- ثلاثة
- عبر
- إلى
- أدوات
- حركة المرور
- التحويلات
- وسائل النقل
- اكثر شيوعا
- اثنان
- Uk
- غير معروف
- آخر التحديثات
- us
- تستخدم
- مستعمل
- استخدام
- خدمات
- بائع
- جدا
- ضحايا
- فولت
- VPN
- نقاط الضعف
- الضعيفة
- وكان
- مياه
- we
- الويب
- حسن
- متى
- التي
- من الذى
- على نحو واسع
- سوف
- مع
- سنوات
- زفيرنت