Volt-Taifun verstärkt böswillige Aktivitäten gegen kritische Infrastruktur

Die von China unterstützte Cyber-Spionagegruppe Volt Typhoon nimmt in einer raffinierten und heimlichen Kampagne systematisch ältere Cisco-Geräte ins Visier, um ihre Angriffsinfrastruktur auszubauen.

In vielen Fällen nutzt der Bedrohungsakteur, der dafür bekannt ist, kritische Infrastrukturen ins Visier zu nehmen, einige Schwachstellen in Routern aus dem Jahr 2019 aus, um in Zielgeräte einzudringen und die Kontrolle über sie zu übernehmen.

Ausrichtung auf kritische Infrastruktursektoren in den USA

Forscher des Threat-Intelligence-Teams von SecurityScorecard entdeckten die Aktivität, als sie einige Folgeuntersuchungen zu aktuellen Anbietern und anderen Anbietern durchführten Medienberichte über den Einbruch des Volt Typhoon in kritische Infrastrukturorganisationen in den USA und den Grundstein für mögliche zukünftige Störungen. Die Angriffe richteten sich gegen Wasserversorgungsunternehmen, Energieversorger, Transport- und Kommunikationssysteme. Zu den Opfern der Gruppe gehörten Organisationen in den USA, Großbritannien und Australien.

Einer der Anbieter berichtet von Lumen, beschrieb ein Botnetz bestehend aus Router für kleine Büros/Heimbüros (SOHO). dass Volt Typhoon – und andere chinesische Bedrohungsgruppen – als Command-and-Control-Netzwerk (C2) bei Angriffen auf hochwertige Netzwerke nutzen. Das Netzwerk, das Lumen in dem Bericht beschreibt, besteht hauptsächlich aus ausgedienten Routern von Cisco, DrayTek und in geringerem Maße von Netgear.

Die Forscher von SecurityScorecard nutzten die von Lumen in seinem Bericht veröffentlichten Indicators of Compromise (IoCs), um zu sehen, ob sie neue Infrastruktur identifizieren konnten, die mit der Kampagne von Volt Typhoon in Zusammenhang steht. Der Untersuchung haben gezeigt, dass die Aktivitäten der Bedrohungsgruppe möglicherweise umfangreicher sind als bisher angenommen, sagt Rob Ames, Mitarbeiter des Bedrohungsforschers bei SecurityScorecard.

Beispielsweise scheint Volt Typhoon für die Kompromittierung von bis zu 30 % – oder 325 von 1,116 – der ausgedienten Cisco RV320/325-Router verantwortlich gewesen zu sein, die SecurityScorecard über einen Zeitraum von 2 Tagen im C37-Botnetz beobachtet hat. Die Forscher des Sicherheitsanbieters beobachteten zwischen dem 1. Dezember 2023 und dem 7. Januar 2024 regelmäßige Verbindungen zwischen den kompromittierten Cisco-Geräten und der bekannten Volt Typhoon-Infrastruktur, was auf einen sehr aktiven Betrieb hindeutet.

Die Recherchen von SecurityScorecard ergaben auch, dass Volt Typhoon „fy.sh“ einsetzte, eine bisher unbekannte Web-Shell auf den Cisco-Routern und anderen Netzwerk-Edge-Geräten, auf die die Gruppe derzeit abzielt. Darüber hinaus konnte SecurityScorecard mehrere neue IP-Adressen identifizieren, die offenbar mit Volt Typhoon-Aktivitäten in Zusammenhang standen.

„SecurityScorecard nutzte zuvor verbreitete IoCs, die mit Volt Typhoon verknüpft waren, um die von uns beobachteten neu kompromittierten Geräte, die zuvor nicht spezifizierte Webshell (fy.sh) und die anderen IP-Adressen zu identifizieren, die neue IoCs darstellen könnten“, sagt Ames.

Cyberangriffe, die auf dem Land leben

Volt-Taifun ist eine Bedrohungsgruppe, die US-Behörde für Cybersicherheit und Infrastruktur (CISA) hat sich als staatlich geförderter chinesischer Bedrohungsakteur identifiziert, der es auf kritische Infrastruktursektoren in den USA abgesehen hat. Microsoft, der im Mai 2023 als erster über die Gruppe berichtete, hat beschrieben, dass sie seit mindestens Mai 2021 aktiv ist, ihren Sitz in China hat und groß angelegte Cyberspionage unter Einsatz einer Reihe von „Living-off-the-Land“-Techniken durchführt. Das Unternehmen geht davon aus, dass die Gruppe Fähigkeiten entwickelt, um bei potenziellen künftigen Konflikten kritische Kommunikationsmöglichkeiten zwischen den USA und Asien zu stören.

Laut Ames ist die Verwendung kompromittierter Router durch Volt Typhoon für die Datenübertragung ein Hinweis auf das Engagement der Gruppe für Tarnung.

„Die Gruppe leitet ihren Datenverkehr häufig über diese Geräte weiter, um eine geografische Erkennung zu vermeiden, wenn sie Organisationen im selben Gebiet wie die kompromittierten Router angreift“, sagt er. „Es ist möglicherweise weniger wahrscheinlich, dass diese Organisationen böswillige Aktivitäten bemerken, wenn der betroffene Datenverkehr scheinbar aus dem Gebiet stammt, in dem die Organisation ihren Sitz hat.“

Cyber-Targeting gefährdeter Altgeräte

Dass Volt Typhoon auf Altgeräte abzielt, macht auch aus der Sicht des Angreifers sehr viel Sinn, sagt Ames. Es gibt etwa 35 bekannte kritische Schwachstellen mit einem Schweregrad von mindestens 9 von 10 auf der CVSS-Skala – darunter zwei im CISA-Katalog „Known Exploited Vulnerabilities“ – im Zusammenhang mit den Cisco RV320-Routern, auf die Volt Typhoon abzielt. Cisco hat vor drei Jahren, im Januar 2021, aufgehört, Bugfixes, Wartungsversionen und Reparaturen für die Technologie herauszugeben. Zusätzlich zu den Cisco-Geräten umfasst das mit Volt Typhoon verbundene Botnetz auch kompromittierte ältere DrayTek Vigor- und Netgear ProSafe-Router.

„Aus Sicht der Geräte selbst handelt es sich um niedrig hängende Früchte“, sagt Ames. „Da ‚End-of-Life‘ bedeutet, dass die Hersteller der Geräte keine Updates mehr für sie herausgeben, werden Schwachstellen, die sie betreffen, wahrscheinlich nicht behoben, wodurch die Geräte anfällig für Gefährdungen werden.“

Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start, sagt, dass die strategische Ausrichtung von Volt Typhoon auf veraltete Cisco-Router, die Entwicklung maßgeschneiderter Tools wie fy.sh und die geografische und sektorale Ausrichtung auf eine hochentwickelte Operation schließen lassen.

„Die Konzentration auf Altsysteme ist bei Bedrohungsakteuren keine gängige Taktik, vor allem weil dafür spezifisches Wissen über ältere Systeme und deren Schwachstellen erforderlich ist, die möglicherweise nicht allgemein bekannt oder dokumentiert sind“, sagt Günther. „Allerdings ist es ein wachsender Trend, insbesondere bei staatlich geförderten Akteuren, die über die Ressourcen und die Motivation verfügen, umfassende Aufklärung durchzuführen und maßgeschneiderte Exploits zu entwickeln.“

Als Beispiele nennt sie mehrere Bedrohungsakteure, die es auf sogenannte Angriffe abgesehen haben Ripple20-Schwachstellen in einem TCP/IP-Stack, der Millionen älterer IoT-Geräte betraf, sowie chinesische und iranische Bedrohungsgruppen, die es auf Schwachstellen in älteren VPN-Produkten abgesehen haben.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure