طوفان ولتی فعالیت های مخرب را در برابر زیرساخت های حیاتی افزایش می دهد

گروه جاسوسی سایبری تحت حمایت چین Volt Typhoon به طور سیستماتیک دستگاه های قدیمی سیسکو را در یک کمپین پیچیده و مخفیانه برای توسعه زیرساخت حمله خود هدف قرار می دهد.

در بسیاری از موارد، عامل تهدید که به دلیل هدف قرار دادن زیرساخت‌های حیاتی شناخته می‌شود، از چند آسیب‌پذیری از سال 2019 در مسیریاب‌ها برای نفوذ به دستگاه‌های هدف و کنترل آن‌ها سوء استفاده می‌کند.

هدف قرار دادن بخش های زیرساخت حیاتی ایالات متحده

محققان تیم اطلاعات تهدید SecurityScorecard این فعالیت را هنگام انجام برخی تحقیقات بعدی بر روی فروشنده اخیر و گزارش های رسانه ها در مورد نفوذ طوفان ولتی به سازمان‌های زیرساختی حیاتی ایالات متحده و زمینه‌سازی برای اختلالات احتمالی آینده. این حملات تاسیسات آب، تامین کنندگان برق، حمل و نقل و سیستم های ارتباطی را هدف قرار داده اند. قربانیان این گروه شامل سازمان هایی در ایالات متحده، بریتانیا و استرالیا هستند.

یکی از فروشنده گزارش می دهد، از واحد تشعشع برابر مقدار نوری که از یک شمع معمولی بین المللی ساطع میگردد، یک بات نت متشکل از روترهای اداری/دفتر خانگی کوچک (SOHO). که Volt Typhoon - و دیگر گروه‌های تهدید چینی - به عنوان یک شبکه فرمان و کنترل (C2) در حملات علیه شبکه‌های با ارزش بالا استفاده می‌کنند. شبکه ای که Lumen در گزارش توضیح داد عمدتاً از روترهای پایان عمر سیسکو، DrayTek و تا حدی کمتر Netgear تشکیل شده است.

محققان SecurityScorecard از شاخص‌های سازش (IoC) استفاده کردند که Lumen همراه با گزارش خود منتشر کرد تا ببینند آیا می‌توانند زیرساخت‌های جدید مرتبط با کمپین Volt Typhoon را شناسایی کنند. را تحقیق راب ایمز، پژوهشگر تهدید کارکنان در SecurityScorecard می گوید: فعالیت گروه تهدید ممکن است گسترده تر از آن چیزی باشد که قبلا تصور می شد.

به عنوان مثال، به نظر می رسد Volt Typhoon مسئول به خطر انداختن 30% - یا 325 از 1,116 - روترهای پایان عمر Cisco RV320/325 بوده است که SecurityScorecard در بات نت C2 در یک دوره 37 روزه مشاهده کرده است. محققان این فروشنده امنیتی اتصالات منظم بین دستگاه‌های آسیب‌دیده سیسکو و زیرساخت‌های شناخته‌شده Volt Typhoon را بین 1 دسامبر 2023 تا 7 ژانویه 2024 مشاهده کردند که نشان‌دهنده یک عملیات بسیار فعال است.

حفاری SecurityScorecard همچنین نشان داد که Volt Typhoon «fy.sh» را که تا به حال یک پوسته وب ناشناخته در مسیریاب‌های سیسکو و سایر دستگاه‌های لبه شبکه که گروه در حال حاضر هدف قرار می‌دهند، به کار می‌گیرد. علاوه بر این، SecurityScorecard قادر به شناسایی چندین آدرس IP جدید بود که ظاهراً مرتبط با فعالیت Volt Typhoon بودند.

ایمز می‌گوید: «SecurityScorecard از IoC‌های منتشر شده قبلی مرتبط با Volt Typhoon برای شناسایی دستگاه‌های در معرض خطر جدید که مشاهده کردیم، پوسته وب نامشخص قبلی (fy.sh) و سایر آدرس‌های IP که ممکن است IoC‌های جدید را نشان دهند، استفاده کرد.

حملات سایبری در خارج از زمین

ولت تایفون یک گروه تهدید است که آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) او را به عنوان یک بازیگر تهدید چین تحت حمایت دولت معرفی کرده است که بخش های زیرساختی حیاتی ایالات متحده را هدف قرار می دهد. مایکروسافت، اولین کسی که در ماه مه 2023 در مورد این گروه گزارش داد، آن را به عنوان فعال بودن حداقل از ماه مه 2021، مستقر در چین و انجام جاسوسی سایبری در مقیاس بزرگ با استفاده از تکنیک های متعددی در خارج از زمین توصیف کرد. این شرکت این گروه را به عنوان توانایی هایی در حال توسعه برای برهم زدن قابلیت های ارتباطی حیاتی بین ایالات متحده و آسیا در طول درگیری های احتمالی آینده ارزیابی کرده است.

ایمز می گوید استفاده ولت تایفون از روترهای در معرض خطر برای انتقال داده یکی از نشانه های تعهد این گروه به مخفی کاری است.

او می‌گوید: «این گروه اغلب ترافیک خود را از طریق این دستگاه‌ها هدایت می‌کند تا هنگام هدف قرار دادن سازمان‌هایی در همان منطقه که روترهای آسیب‌دیده را هدف قرار می‌دهند، از شناسایی مبتنی بر جغرافیایی جلوگیری کنند». اگر به نظر برسد که ترافیک درگیر از منطقه ای که سازمان در آن مستقر است، این سازمان ها کمتر متوجه فعالیت های مخرب می شوند.

هدف گذاری سایبری تجهیزات آسیب پذیر پایان عمر

ایمز می‌گوید هدف‌گیری ولت تایفون دستگاه‌های پایان عمر نیز از دیدگاه مهاجم منطقی است. حدود 35 آسیب پذیری حیاتی شناخته شده با درجه شدت حداقل 9 از 10 در مقیاس CVSS وجود دارد - از جمله دو مورد در کاتالوگ آسیب پذیری های شناخته شده CISA - مرتبط با روترهای Cisco RV320 که Volt Typhoon هدف قرار داده است. سیسکو سه سال پیش، در ژانویه 2021، هرگونه رفع اشکال، انتشار تعمیر و نگهداری و تعمیرات را برای این فناوری متوقف کرد. علاوه بر دستگاه‌های سیسکو، بات‌نت مرتبط با Volt Typhoon همچنین شامل روترهای قدیمی DrayTek Vigor و Netgear ProSafe می‌شود.

ایمز می‌گوید: «از منظر خود دستگاه‌ها، آنها میوه‌ای کم‌آویز هستند. از آنجایی که «پایان عمر» به این معنی است که تولیدکنندگان دستگاه‌ها دیگر به‌روزرسانی‌هایی را برای آن‌ها صادر نمی‌کنند، آسیب‌پذیری‌هایی که بر آن‌ها تأثیر می‌گذارند احتمالاً برطرف می‌شوند و دستگاه‌ها را مستعد به خطر انداختن می‌کند.»

Callie Guenther، مدیر ارشد تحقیقات تهدیدات سایبری در Critical Start، می‌گوید که هدف‌گیری استراتژیک Volt Typhoon روی روترهای پایان عمر سیسکو، توسعه ابزارهای سفارشی مانند fy.sh و هدف‌گیری جغرافیایی و بخشی آن حاکی از یک عملیات بسیار پیچیده است.

گونتر می‌گوید: «تمرکز بر سیستم‌های قدیمی تاکتیک رایجی در میان بازیگران تهدید نیست، در درجه اول به این دلیل که به دانش خاصی در مورد سیستم‌های قدیمی‌تر و آسیب‌پذیری‌های آنها نیاز دارد، که ممکن است به طور گسترده شناخته شده یا مستند نباشد. با این حال، این یک روند رو به رشد است، به ویژه در میان بازیگران تحت حمایت دولت که منابع و انگیزه لازم برای انجام عملیات شناسایی گسترده و توسعه بهره برداری های متناسب را دارند.

به عنوان مثال، او به چندین عامل تهدید اشاره می کند که به اصطلاح را هدف قرار می دهند آسیب پذیری های Ripple20 در یک پشته TCP/IP که میلیون‌ها دستگاه IoT قدیمی و همچنین گروه‌های تهدید چینی و ایرانی را تحت تأثیر قرار داده است که نقص‌های محصولات قدیمی VPN را هدف قرار داده است.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure