Den kinesisk-støttede cyberspionagegruppe Volt Typhoon retter sig systematisk mod ældre Cisco-enheder i en sofistikeret og snigende kampagne for at udvide sin angrebsinfrastruktur.
I mange tilfælde udnytter trusselsaktøren, kendt for at målrette kritisk infrastruktur, et par sårbarheder fra 2019 i routere til at bryde ind i målenheder og tage kontrol over dem.
Målrettet mod amerikanske kritiske infrastruktursektorer
Forskere fra SecurityScorecards trusselsefterretningsteam opdagede aktiviteten, da de lavede nogle opfølgende undersøgelser af den seneste leverandør og medier rapporter om Volt Typhoon, der bryder ind i amerikanske kritiske infrastrukturorganisationer og lægger grunden til potentielle fremtidige forstyrrelser. Angrebene er rettet mod vandværker, strømleverandører, transport- og kommunikationssystemer. Gruppens ofre har inkluderet organisationer i USA, Storbritannien og Australien.
En af sælgerne rapporterer fra Lumen, beskrev et botnet bestående af lille kontor/hjemmekontor (SOHO) routere som Volt Typhoon - og andre kinesiske trusselsgrupper - bruger som et kommando-og-kontrol-netværk (C2) i angreb mod netværk af høj værdi. Netværket, som Lumen beskrev i rapporten, består hovedsageligt af udtjente routere fra Cisco, DrayTek og i mindre grad Netgear.
SecurityScorecard-forskere brugte indikatorerne for kompromis (IoC'er), som Lumen udgav med sin rapport for at se, om de kunne identificere ny infrastruktur forbundet med Volt Typhoons kampagne. Det undersøgelse viste, at trusselsgruppens aktivitet kan være mere omfattende end hidtil antaget, siger Rob Ames, personaletrusselsforsker hos SecurityScorecard.
For eksempel ser Volt Typhoon ud til at have været ansvarlig for at kompromittere så meget som 30 % - eller 325 af 1,116 - af udtjente Cisco RV320/325-routere, som SecurityScorecard observerede på C2-botnettet over en 37-dages periode. Sikkerhedsleverandørens forskere observerede regelmæssige forbindelser mellem de kompromitterede Cisco-enheder og den kendte Volt Typhoon-infrastruktur mellem 1. december 2023 og 7. januar 2024, hvilket tyder på en meget aktiv operation.
SecurityScorecards udgravning viste også, at Volt Typhoon installerede "fy.sh", en hidtil ukendt web-shell på Cisco-routere og andre netværkskantenheder, som gruppen i øjeblikket er rettet mod. Derudover var SecurityScorecard i stand til at identificere flere nye IP-adresser, der så ud til at være forbundet med Volt Typhoon-aktivitet.
"SecurityScorecard brugte tidligere cirkulerede IoC'er knyttet til Volt Typhoon til at identificere de nyligt kompromitterede enheder, vi observerede, den tidligere uspecificerede webshell (fy.sh) og de andre IP-adresser, der kan repræsentere nye IoC'er," siger Ames.
Living-off-the-Land Cyberangreb
Volt tyfon er en trusselgruppe, som US Cybersecurity and Infrastructure Agency (CISA) har identificeret som en statssponsoreret kinesisk trusselsaktør rettet mod amerikanske kritiske infrastruktursektorer. microsoft, den første til at rapportere om gruppen tilbage i maj 2023, har beskrevet den som værende aktiv siden i det mindste maj 2021, med base i Kina og drevet storstilet cyberspionage ved hjælp af en række levende-off-the-land-teknikker. Virksomheden har vurderet, at gruppen udvikler kapaciteter til at forstyrre kritiske kommunikationskapaciteter mellem USA og Asien under potentielle fremtidige konflikter.
Ames siger, at Volt Typhoons brug af kompromitterede routere til dataoverførsel er en indikation af gruppens forpligtelse til stealth.
"Gruppen dirigerer ofte sin trafik gennem disse enheder for at undgå geografisk baseret detektion, når de retter sig mod organisationer i samme område som de kompromitterede routere," siger han. "Disse organisationer kan være mindre tilbøjelige til at bemærke ondsindet aktivitet, hvis den involverede trafik ser ud til at stamme fra det område, hvor organisationen er baseret."
Cyber-målretning af sårbart end-of-life gear
Volt Typhoons målretning mod udtjente enheder giver også meget mening fra angriberens perspektiv, siger Ames. Der er omkring 35 kendte kritiske sårbarheder med en alvorlighedsgrad på mindst 9 ud af 10 på CVSS-skalaen - inklusive to i CISA's katalog over kendte udnyttede sårbarheder - forbundet med Cisco RV320-routerne, som Volt Typhoon har været rettet mod. Cisco stoppede med at udstede fejlrettelser, vedligeholdelsesudgivelser og reparationer for teknologien for tre år siden, i januar 2021. Ud over Cisco-enhederne inkluderer det Volt Typhoon-linkede botnet også kompromitterede ældre DrayTek Vigor- og Netgear ProSafe-routere.
"Set fra selve enhedernes perspektiv er de lavthængende frugter," siger Ames. "Da 'end-of-life' betyder, at enhedernes producenter ikke længere vil udsende opdateringer til dem, vil sårbarheder, der påvirker dem, sandsynligvis forsvinde, hvilket efterlader enhederne modtagelige for kompromittering."
Callie Guenther, senior manager for cybertrusselsforskning hos Critical Start, siger, at Volt Typhoons strategiske målretning af udtjente Cisco-routere, dets udvikling af brugerdefinerede værktøjer som fy.sh og dets geografiske og sektormæssige målretning tyder på en meget sofistikeret operation.
"At fokusere på ældre systemer er ikke en almindelig taktik blandt trusselsaktører, primært fordi det kræver specifik viden om ældre systemer og deres sårbarheder, som måske ikke er almindeligt kendt eller dokumenteret," siger Guenther. "Men det er en stigende tendens, især blandt statssponsorerede aktører, som har ressourcerne og motivationen til at udføre omfattende rekognoscering og udvikle skræddersyede bedrifter."
Som eksempler peger hun på flere trusselsaktører rettet mod de såkaldte Ripple20 sårbarheder i en TCP/IP-stak, der påvirkede millioner af ældre IoT-enheder, såvel som kinesiske og iranske trusselsgrupper rettet mod fejl i ældre VPN-produkter.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- :har
- :er
- :ikke
- $OP
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35 %
- 7
- 9
- a
- I stand
- Om
- aktiv
- aktivitet
- aktører
- Desuden
- adresser
- påvirket
- påvirker
- mod
- agentur
- siden
- også
- blandt
- ,
- og infrastruktur
- enhver
- dukkede
- kommer til syne
- ER
- OMRÅDE
- AS
- asia
- vurderes
- forbundet
- At
- angribe
- Angreb
- Australien
- undgå
- tilbage
- baseret
- BE
- fordi
- været
- være
- mellem
- botnet
- Pause
- Breaking
- Bug
- Kampagne
- kapaciteter
- katalog
- Kina
- kinesisk
- Cisco
- engagement
- Fælles
- Kommunikation
- kommunikationssystemer
- selskab
- Indeholder
- kompromis
- Kompromitteret
- at gå på kompromis
- Adfærd
- udførelse
- Konflikter
- Tilslutninger
- består
- kontrol
- kunne
- Par
- kritisk
- Kritisk infrastruktur
- For øjeblikket
- skik
- Cyber
- Cybersecurity
- data
- december
- implementering
- beskrevet
- Detektion
- udvikle
- udvikling
- Udvikling
- Enheder
- Afbryde
- forstyrrelser
- gør
- i løbet af
- Edge
- især
- spionage
- eksempel
- eksempler
- Exploited
- udnytte
- exploits
- omfattende
- udstrækning
- Fornavn
- fast
- fejl
- fokusering
- Til
- fra
- fremtiden
- FY
- geografisk
- geografisk
- Go
- Ground
- gruppe
- Gruppens
- Grow
- Dyrkning
- Have
- he
- stærkt
- Men
- HTTPS
- identificeret
- identificere
- if
- in
- medtaget
- omfatter
- Herunder
- tegn
- Indikatorer
- Infrastruktur
- Intelligens
- ind
- Undersøgelser
- involverede
- tingenes internet
- iot-enheder
- IP
- IP-adresser
- iransk
- spørgsmål
- udstedelse
- IT
- ITS
- Jan
- januar
- Januar 2021
- jpg
- viden
- kendt
- storstilet
- æglæggende
- mindst
- forlader
- Legacy
- mindre
- ligesom
- Sandsynlig
- forbundet
- længere
- Lot
- Lumen
- hovedsageligt
- vedligeholdelse
- maerker
- ondsindet
- leder
- mange
- Kan..
- midler
- microsoft
- måske
- millioner
- mere
- Motivation
- meget
- flere
- netværk
- net
- Ny
- nyligt
- ingen
- Varsel..
- of
- Office
- tit
- ældre
- on
- ONE
- drift
- or
- ordrer
- organisation
- organisationer
- Andet
- ud
- i løbet af
- periode
- perspektiv
- plato
- Platon Data Intelligence
- PlatoData
- punkter
- potentiale
- magt
- tidligere
- primært
- Producenter
- Produkter
- Ramper
- bedømmelse
- nylige
- fast
- frigivet
- Udgivelser
- indberette
- Rapporter
- repræsentere
- Kræver
- forskning
- forsker
- forskere
- Ressourcer
- ansvarlige
- Rob
- veje
- s
- samme
- siger
- Scale
- sektorielle
- Sektorer
- sikkerhed
- se
- senior
- forstand
- hun
- Shell
- viste
- siden
- mindre
- nogle
- sofistikeret
- specifikke
- stable
- Personale
- starte
- Stealth
- snigende
- stoppet
- Strategisk
- tyder
- leverandører
- modtagelig
- Systemer
- skræddersyet
- Tag
- mål
- målrettet
- rettet mod
- Tcp/ip
- hold
- teknikker
- Teknologier
- end
- at
- Området
- deres
- Them
- selv
- Der.
- Disse
- de
- tænkte
- trussel
- trusselsaktører
- tre
- Gennem
- til
- værktøjer
- Trafik
- overførsler
- transport
- Trend
- to
- Uk
- ukendt
- opdateringer
- us
- brug
- anvendte
- ved brug af
- forsyningsselskaber
- sælger
- meget
- ofre
- Volt
- VPN
- Sårbarheder
- Sårbar
- var
- Vand
- we
- web
- GODT
- hvornår
- som
- WHO
- bredt
- vilje
- med
- år
- zephyrnet
