Volt Typhoon αυξάνει την κακόβουλη δραστηριότητα ενάντια σε κρίσιμες υποδομές

Η υποστηριζόμενη από την Κίνα ομάδα κυβερνοκατασκοπείας Volt Typhoon στοχεύει συστηματικά παλαιού τύπου συσκευές Cisco σε μια εξελιγμένη και μυστική εκστρατεία για την ανάπτυξη της υποδομής επίθεσης.

Σε πολλές περιπτώσεις, ο παράγοντας απειλών, γνωστός για τη στόχευση υποδομών ζωτικής σημασίας, εκμεταλλεύεται μερικά τρωτά σημεία από το 2019 σε δρομολογητές, για να εισβάλει σε συσκευές-στόχους και να πάρει τον έλεγχό τους.

Στοχεύοντας τομείς υποδομής ζωτικής σημασίας των ΗΠΑ

Ερευνητές από την ομάδα πληροφοριών απειλών της SecurityScorecard εντόπισαν τη δραστηριότητα όταν έκαναν κάποιες έρευνες παρακολούθησης σε πρόσφατο προμηθευτή και αναφορές των μέσων ενημέρωσης σχετικά με το Volt Typhoon που εισβάλλει σε οργανισμούς υποδομής ζωτικής σημασίας των ΗΠΑ και θέτει το έδαφος για πιθανές μελλοντικές διακοπές. Οι επιθέσεις είχαν στόχο επιχειρήσεις ύδρευσης, προμηθευτές ηλεκτρικής ενέργειας, συστήματα μεταφορών και επικοινωνιών. Στα θύματα της ομάδας περιλαμβάνονται οργανώσεις στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Αυστραλία.

Ένας από τους πωλητές αναφέρει, από Lumen, περιέγραψε ένα botnet που αποτελείται από δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO). που το Volt Typhoon — και άλλες κινεζικές ομάδες απειλών — χρησιμοποιεί ως δίκτυο εντολών και ελέγχου (C2) σε επιθέσεις εναντίον δικτύων υψηλής αξίας. Το δίκτυο που περιέγραψε το Lumen στην αναφορά αποτελείται κυρίως από δρομολογητές στο τέλος του κύκλου ζωής τους από τη Cisco, την DrayTek και, σε μικρότερο βαθμό, τη Netgear.

Οι ερευνητές της SecurityScorecard χρησιμοποίησαν τους δείκτες συμβιβασμού (IoC) που δημοσίευσε το Lumen με την έκθεσή του για να δουν εάν μπορούσαν να εντοπίσουν νέες υποδομές που σχετίζονται με την εκστρατεία του Volt Typhoon. ο έρευνα έδειξε ότι η δραστηριότητα της ομάδας απειλών μπορεί να είναι πιο εκτεταμένη από ό,τι πιστεύαμε προηγουμένως, λέει ο Rob Ames, ερευνητής απειλών προσωπικού στο SecurityScorecard.

Για παράδειγμα, η Volt Typhoon φαίνεται ότι ήταν υπεύθυνη για την παραβίαση έως και 30% — ή 325 από 1,116 — των δρομολογητών Cisco RV320/325 στο τέλος της ζωής τους που η SecurityScorecard παρατήρησε στο botnet C2 σε περίοδο 37 ημερών. Οι ερευνητές του προμηθευτή ασφαλείας παρατήρησαν τακτικές συνδέσεις μεταξύ των παραβιασμένων συσκευών Cisco και της γνωστής υποδομής Volt Typhoon μεταξύ 1ης Δεκεμβρίου 2023 και 7 Ιανουαρίου 2024, υποδηλώνοντας μια πολύ ενεργή λειτουργία.

Το σκάψιμο της SecurityScorecard έδειξε επίσης ότι ο Volt Typhoon αναπτύσσει το "fy.sh", ένα άγνωστο μέχρι τώρα κέλυφος Web στους δρομολογητές της Cisco και σε άλλες συσκευές αιχμής δικτύου που στοχεύει αυτή τη στιγμή η ομάδα. Επιπλέον, η SecurityScorecard ήταν σε θέση να αναγνωρίσει πολλές νέες διευθύνσεις IP που εμφανίζονταν συνδεδεμένες με τη δραστηριότητα Volt Typhoon.

«Η κάρτα SecurityScorecard χρησιμοποίησε IoC που είχαν κυκλοφορήσει προηγουμένως συνδεδεμένα με το Volt Typhoon για να αναγνωρίσει τις πρόσφατα παραβιασμένες συσκευές που παρατηρήσαμε, το προηγουμένως απροσδιόριστο webshell (fy.sh) και τις άλλες διευθύνσεις IP που μπορεί να αντιπροσωπεύουν νέα IoC», λέει ο Ames.

Κυβερνοεπιθέσεις που ζουν εκτός της ξηράς

Volt Typhoon είναι μια ομάδα απειλής που η Υπηρεσία Κυβερνοασφάλειας και Υποδομής των ΗΠΑ (CISA) έχει αναγνωριστεί ως ένας κινεζικός παράγοντας απειλής που χρηματοδοτείται από το κράτος που στοχεύει τομείς υποδομών ζωτικής σημασίας των ΗΠΑ. Microsoft, ο πρώτος που έκανε αναφορά για την ομάδα τον Μάιο του 2023, την περιέγραψε ως ενεργή τουλάχιστον από τον Μάιο του 2021, με έδρα στην Κίνα και διεξαγωγή μεγάλης κλίμακας κατασκοπείας στον κυβερνοχώρο χρησιμοποιώντας μια σειρά από τεχνικές που ζουν εκτός της ξηράς. Η εταιρεία έχει αξιολογήσει τον όμιλο ως ανάπτυξη ικανοτήτων για τη διακοπή των κρίσιμων επικοινωνιακών δυνατοτήτων μεταξύ των ΗΠΑ και της Ασίας κατά τη διάρκεια πιθανών μελλοντικών συγκρούσεων.

Ο Έιμς λέει ότι η χρήση παραβιασμένων δρομολογητών από τον Volt Typhoon για μεταφορές δεδομένων είναι μια ένδειξη της δέσμευσης της ομάδας στο stealth.

«Η ομάδα συχνά δρομολογεί την επισκεψιμότητά της μέσω αυτών των συσκευών για να αποφύγει τον εντοπισμό γεωγραφικής βάσης όταν στοχεύει οργανισμούς στην ίδια περιοχή με τους παραβιασμένους δρομολογητές», λέει. "Αυτοί οι οργανισμοί ενδέχεται να είναι λιγότερο πιθανό να παρατηρήσουν κακόβουλη δραστηριότητα εάν η εμπλεκόμενη κίνηση φαίνεται να προέρχεται από την περιοχή στην οποία εδρεύει ο οργανισμός."

Κυβερνο-στόχευση ευάλωτων εργαλείων στο τέλος της ζωής τους

Η στόχευση συσκευών στο τέλος του κύκλου ζωής του Volt Typhoon έχει επίσης πολύ νόημα από την οπτική γωνία του εισβολέα, λέει ο Ames. Υπάρχουν περίπου 35 γνωστά κρίσιμα τρωτά σημεία με βαθμολογία σοβαρότητας τουλάχιστον 9 στα 10 στην κλίμακα CVSS — συμπεριλαμβανομένων δύο στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA — που σχετίζονται με τους δρομολογητές Cisco RV320 στους οποίους στοχεύει η Volt Typhoon. Η Cisco σταμάτησε να εκδίδει διορθώσεις σφαλμάτων, εκδόσεις συντήρησης και επισκευές για την τεχνολογία πριν από τρία χρόνια, τον Ιανουάριο του 2021. Εκτός από τις συσκευές Cisco, το botnet που συνδέεται με το Volt Typhoon περιλαμβάνει επίσης παραβιασμένους δρομολογητές DrayTek Vigor και Netgear ProSafe.

«Από την οπτική γωνία των ίδιων των συσκευών, είναι φρούτα χαμηλά», λέει ο Ames. «Δεδομένου ότι το «τέλος ζωής» σημαίνει ότι οι παραγωγοί των συσκευών δεν θα εκδίδουν πλέον ενημερώσεις για αυτούς, τα τρωτά σημεία που τους επηρεάζουν είναι πιθανό να μην αντιμετωπιστούν, αφήνοντας τις συσκευές επιρρεπείς σε συμβιβασμούς».

Η Callie Guenther, ανώτερη διευθύντρια έρευνας κυβερνοαπειλής στην Critical Start, λέει ότι η στρατηγική στόχευση της Volt Typhoon στους δρομολογητές Cisco στο τέλος της ζωής της, η ανάπτυξη προσαρμοσμένων εργαλείων όπως το fy.sh και η γεωγραφική και τομεακή στόχευση υποδηλώνουν μια εξαιρετικά εξελιγμένη λειτουργία.

"Η εστίαση σε παλαιού τύπου συστήματα δεν είναι μια κοινή τακτική μεταξύ των παραγόντων απειλών, κυρίως επειδή απαιτεί συγκεκριμένες γνώσεις σχετικά με παλαιότερα συστήματα και τις ευπάθειές τους, οι οποίες μπορεί να μην είναι ευρέως γνωστές ή τεκμηριωμένες", λέει ο Guenther. "Ωστόσο, είναι μια αυξανόμενη τάση, ειδικά μεταξύ των κρατικών φορέων που έχουν τους πόρους και τα κίνητρα να διεξάγουν εκτεταμένες αναγνωρίσεις και να αναπτύξουν εξατομικευμένα κατορθώματα".

Ως παραδείγματα, επισημαίνει πολλαπλούς παράγοντες απειλών που στοχεύουν τα λεγόμενα Ripple20 τρωτά σημεία σε μια στοίβα TCP/IP που επηρέασε εκατομμύρια συσκευές IoT παλαιού τύπου, καθώς και ομάδες απειλών από την Κίνα και το Ιράν που στοχεύουν ελαττώματα σε παλαιότερα προϊόντα VPN.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure