گروه جاسوسی سایبری تحت حمایت چین Volt Typhoon به طور سیستماتیک دستگاه های قدیمی سیسکو را در یک کمپین پیچیده و مخفیانه برای توسعه زیرساخت حمله خود هدف قرار می دهد.
در بسیاری از موارد، عامل تهدید که به دلیل هدف قرار دادن زیرساختهای حیاتی شناخته میشود، از چند آسیبپذیری از سال 2019 در مسیریابها برای نفوذ به دستگاههای هدف و کنترل آنها سوء استفاده میکند.
هدف قرار دادن بخش های زیرساخت حیاتی ایالات متحده
محققان تیم اطلاعات تهدید SecurityScorecard این فعالیت را هنگام انجام برخی تحقیقات بعدی بر روی فروشنده اخیر و گزارش های رسانه ها در مورد نفوذ طوفان ولتی به سازمانهای زیرساختی حیاتی ایالات متحده و زمینهسازی برای اختلالات احتمالی آینده. این حملات تاسیسات آب، تامین کنندگان برق، حمل و نقل و سیستم های ارتباطی را هدف قرار داده اند. قربانیان این گروه شامل سازمان هایی در ایالات متحده، بریتانیا و استرالیا هستند.
یکی از فروشنده گزارش می دهد، از واحد تشعشع برابر مقدار نوری که از یک شمع معمولی بین المللی ساطع میگردد، یک بات نت متشکل از روترهای اداری/دفتر خانگی کوچک (SOHO). که Volt Typhoon - و دیگر گروههای تهدید چینی - به عنوان یک شبکه فرمان و کنترل (C2) در حملات علیه شبکههای با ارزش بالا استفاده میکنند. شبکه ای که Lumen در گزارش توضیح داد عمدتاً از روترهای پایان عمر سیسکو، DrayTek و تا حدی کمتر Netgear تشکیل شده است.
محققان SecurityScorecard از شاخصهای سازش (IoC) استفاده کردند که Lumen همراه با گزارش خود منتشر کرد تا ببینند آیا میتوانند زیرساختهای جدید مرتبط با کمپین Volt Typhoon را شناسایی کنند. را تحقیق راب ایمز، پژوهشگر تهدید کارکنان در SecurityScorecard می گوید: فعالیت گروه تهدید ممکن است گسترده تر از آن چیزی باشد که قبلا تصور می شد.
به عنوان مثال، به نظر می رسد Volt Typhoon مسئول به خطر انداختن 30% - یا 325 از 1,116 - روترهای پایان عمر Cisco RV320/325 بوده است که SecurityScorecard در بات نت C2 در یک دوره 37 روزه مشاهده کرده است. محققان این فروشنده امنیتی اتصالات منظم بین دستگاههای آسیبدیده سیسکو و زیرساختهای شناختهشده Volt Typhoon را بین 1 دسامبر 2023 تا 7 ژانویه 2024 مشاهده کردند که نشاندهنده یک عملیات بسیار فعال است.
حفاری SecurityScorecard همچنین نشان داد که Volt Typhoon «fy.sh» را که تا به حال یک پوسته وب ناشناخته در مسیریابهای سیسکو و سایر دستگاههای لبه شبکه که گروه در حال حاضر هدف قرار میدهند، به کار میگیرد. علاوه بر این، SecurityScorecard قادر به شناسایی چندین آدرس IP جدید بود که ظاهراً مرتبط با فعالیت Volt Typhoon بودند.
ایمز میگوید: «SecurityScorecard از IoCهای منتشر شده قبلی مرتبط با Volt Typhoon برای شناسایی دستگاههای در معرض خطر جدید که مشاهده کردیم، پوسته وب نامشخص قبلی (fy.sh) و سایر آدرسهای IP که ممکن است IoCهای جدید را نشان دهند، استفاده کرد.
حملات سایبری در خارج از زمین
ولت تایفون یک گروه تهدید است که آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) او را به عنوان یک بازیگر تهدید چین تحت حمایت دولت معرفی کرده است که بخش های زیرساختی حیاتی ایالات متحده را هدف قرار می دهد. مایکروسافت، اولین کسی که در ماه مه 2023 در مورد این گروه گزارش داد، آن را به عنوان فعال بودن حداقل از ماه مه 2021، مستقر در چین و انجام جاسوسی سایبری در مقیاس بزرگ با استفاده از تکنیک های متعددی در خارج از زمین توصیف کرد. این شرکت این گروه را به عنوان توانایی هایی در حال توسعه برای برهم زدن قابلیت های ارتباطی حیاتی بین ایالات متحده و آسیا در طول درگیری های احتمالی آینده ارزیابی کرده است.
ایمز می گوید استفاده ولت تایفون از روترهای در معرض خطر برای انتقال داده یکی از نشانه های تعهد این گروه به مخفی کاری است.
او میگوید: «این گروه اغلب ترافیک خود را از طریق این دستگاهها هدایت میکند تا هنگام هدف قرار دادن سازمانهایی در همان منطقه که روترهای آسیبدیده را هدف قرار میدهند، از شناسایی مبتنی بر جغرافیایی جلوگیری کنند». اگر به نظر برسد که ترافیک درگیر از منطقه ای که سازمان در آن مستقر است، این سازمان ها کمتر متوجه فعالیت های مخرب می شوند.
هدف گذاری سایبری تجهیزات آسیب پذیر پایان عمر
ایمز میگوید هدفگیری ولت تایفون دستگاههای پایان عمر نیز از دیدگاه مهاجم منطقی است. حدود 35 آسیب پذیری حیاتی شناخته شده با درجه شدت حداقل 9 از 10 در مقیاس CVSS وجود دارد - از جمله دو مورد در کاتالوگ آسیب پذیری های شناخته شده CISA - مرتبط با روترهای Cisco RV320 که Volt Typhoon هدف قرار داده است. سیسکو سه سال پیش، در ژانویه 2021، هرگونه رفع اشکال، انتشار تعمیر و نگهداری و تعمیرات را برای این فناوری متوقف کرد. علاوه بر دستگاههای سیسکو، باتنت مرتبط با Volt Typhoon همچنین شامل روترهای قدیمی DrayTek Vigor و Netgear ProSafe میشود.
ایمز میگوید: «از منظر خود دستگاهها، آنها میوهای کمآویز هستند. از آنجایی که «پایان عمر» به این معنی است که تولیدکنندگان دستگاهها دیگر بهروزرسانیهایی را برای آنها صادر نمیکنند، آسیبپذیریهایی که بر آنها تأثیر میگذارند احتمالاً برطرف میشوند و دستگاهها را مستعد به خطر انداختن میکند.»
Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start، میگوید که هدفگیری استراتژیک Volt Typhoon روی روترهای پایان عمر سیسکو، توسعه ابزارهای سفارشی مانند fy.sh و هدفگیری جغرافیایی و بخشی آن حاکی از یک عملیات بسیار پیچیده است.
گونتر میگوید: «تمرکز بر سیستمهای قدیمی تاکتیک رایجی در میان بازیگران تهدید نیست، در درجه اول به این دلیل که به دانش خاصی در مورد سیستمهای قدیمیتر و آسیبپذیریهای آنها نیاز دارد، که ممکن است به طور گسترده شناخته شده یا مستند نباشد. با این حال، این یک روند رو به رشد است، به ویژه در میان بازیگران تحت حمایت دولت که منابع و انگیزه لازم برای انجام عملیات شناسایی گسترده و توسعه بهره برداری های متناسب را دارند.
به عنوان مثال، او به چندین عامل تهدید اشاره می کند که به اصطلاح را هدف قرار می دهند آسیب پذیری های Ripple20 در یک پشته TCP/IP که میلیونها دستگاه IoT قدیمی و همچنین گروههای تهدید چینی و ایرانی را تحت تأثیر قرار داده است که نقصهای محصولات قدیمی VPN را هدف قرار داده است.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- : دارد
- :است
- :نه
- $UP
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- ٪۱۰۰
- 7
- 9
- a
- قادر
- درباره ما
- فعال
- فعالیت
- بازیگران
- اضافه
- آدرس
- تحت تاثیر قرار
- موثر بر
- در برابر
- نمایندگی
- پیش
- همچنین
- در میان
- و
- و زیرساخت
- هر
- به نظر می رسد
- ظاهر می شود
- هستند
- محدوده
- AS
- آسیا
- ارزیابی
- مرتبط است
- At
- حمله
- حمله
- استرالیا
- اجتناب از
- به عقب
- مستقر
- BE
- زیرا
- بوده
- بودن
- میان
- بات نت
- شکستن
- شکستن
- اشکال
- کمپین بین المللی حقوق بشر
- قابلیت های
- کاتالوگ
- چین
- چینی
- سیسکو
- تعهد
- مشترک
- ارتباطات
- سیستم های ارتباطی
- شرکت
- شامل
- سازش
- در معرض خطر
- مصالحه
- رفتار
- انجام
- درگیری
- اتصالات
- تشکیل شده است
- کنترل
- میتوانست
- زن و شوهر
- بحرانی
- زیرساخت های بحرانی
- در حال حاضر
- سفارشی
- سایبر
- امنیت سایبری
- داده ها
- دسامبر
- استقرار
- شرح داده شده
- کشف
- توسعه
- در حال توسعه
- پروژه
- دستگاه ها
- مختل کردن
- اختلالات
- عمل
- در طی
- لبه
- به خصوص
- جاسوسی
- مثال
- مثال ها
- سوء استفاده قرار گیرد
- بهره برداری از
- سوء استفاده
- وسیع
- حد
- نام خانوادگی
- ثابت
- معایب
- تمرکز
- برای
- از جانب
- آینده
- FY
- جغرافیایی
- از لحاظ جغرافیایی
- Go
- زمین
- گروه
- گروه ها
- شدن
- در حال رشد
- آیا
- he
- خیلی
- اما
- HTTPS
- شناسایی
- شناسایی
- if
- in
- مشمول
- شامل
- از جمله
- نشانه
- شاخص ها
- شالوده
- اطلاعات
- به
- تحقیقات
- گرفتار
- اینترنت اشیا
- دستگاه های iot
- IP
- آدرس های IP
- ایرانی
- موضوع
- صدور
- IT
- ITS
- ژان
- ژانویه
- ژانویه 2021
- JPG
- دانش
- شناخته شده
- در مقیاس بزرگ
- تخمگذار
- کمترین
- ترک
- میراث
- کمتر
- پسندیدن
- احتمالا
- مرتبط
- دیگر
- خیلی
- واحد تشعشع برابر مقدار نوری که از یک شمع معمولی بین المللی ساطع میگردد
- عمدتا
- نگهداری
- باعث می شود
- مخرب
- مدیر
- بسیاری
- ممکن است..
- به معنی
- مایکروسافت
- قدرت
- میلیون ها نفر
- بیش
- انگیزه
- بسیار
- چندگانه
- شبکه
- شبکه
- جدید
- به تازگی
- نه
- اطلاع..
- of
- دفتر
- غالبا
- بزرگتر
- on
- ONE
- عمل
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- خارج
- روی
- دوره
- چشم انداز
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- پتانسیل
- قدرت
- قبلا
- در درجه اول
- تولید
- محصولات
- رمپ
- رتبه
- اخیر
- منظم
- منتشر شد
- منتشر شده
- گزارش
- گزارش ها
- نشان دادن
- نیاز
- تحقیق
- پژوهشگر
- محققان
- منابع
- مسئوليت
- دستبرد زدن
- مسیرها
- s
- همان
- می گوید:
- مقیاس
- بخشی
- بخش ها
- تیم امنیت لاتاری
- دیدن
- ارشد
- حس
- او
- صدف
- نشان داد
- پس از
- کوچکتر
- برخی از
- مصنوعی
- خاص
- پشته
- کارکنان
- شروع
- نهان
- مخفی
- متوقف شد
- استراتژیک
- نشان می دهد
- تامین کنندگان
- مناسب
- سیستم های
- طراحی شده
- گرفتن
- هدف
- هدف قرار
- هدف گذاری
- Tcp/ip
- تیم
- تکنیک
- پیشرفته
- نسبت به
- که
- La
- محوطه
- شان
- آنها
- خودشان
- آنجا.
- اینها
- آنها
- فکر
- تهدید
- بازیگران تهدید
- سه
- از طریق
- به
- ابزار
- ترافیک
- نقل و انتقالات
- حمل و نقل
- روند
- دو
- Uk
- ناشناخته
- به روز رسانی
- us
- استفاده کنید
- استفاده
- با استفاده از
- آب و برق
- فروشنده
- بسیار
- قربانیان
- ولت
- VPN
- آسیب پذیری ها
- آسیب پذیر
- بود
- آب
- we
- وب
- خوب
- چه زمانی
- که
- WHO
- به طور گسترده ای
- اراده
- با
- سال
- زفیرنت