Volt Typhoon lisää haitallista toimintaa kriittistä infrastruktuuria vastaan

Kiinan tukema kybervakoiluryhmä Volt Typhoon kohdistaa järjestelmällisesti vanhoihin Ciscon laitteisiin hienostuneen ja salakavalan kampanjan kasvattaakseen hyökkäysinfrastruktuuriaan.

Monissa tapauksissa kriittiseen infrastruktuuriin kohdistamisesta tunnettu uhkatoimija käyttää hyväkseen muutamaa vuoden 2019 haavoittuvuutta reitittimissä murtautuakseen kohdelaitteisiin ja ottaakseen ne hallintaansa.

Kohdistus Yhdysvaltain kriittisen infrastruktuurin sektoreille

SecurityScorecardin uhkien tiedustelutiimin tutkijat havaitsivat toiminnan tehdessään joitain seurantatutkimuksia viimeaikaisista myyjistä ja mediaraportit Volt Typhoonin murtautumisesta Yhdysvaltain kriittisen infrastruktuurin organisaatioihin ja luomassa pohjaa mahdollisille tuleville häiriöille. Hyökkäykset ovat kohdistuneet vesilaitoksiin, sähköntoimittajiin, liikenne- ja viestintäjärjestelmiin. Ryhmän uhrien joukossa on ollut järjestöjä Yhdysvalloissa, Isossa-Britanniassa ja Australiassa.

Yksi myyjäraporteista, alkaen Lumen, kuvaili bottiverkkoa, joka koostuu pieni toimisto/kotitoimisto (SOHO) reitittimet jota Volt Typhoon - ja muut kiinalaiset uhkaryhmät - käyttävät komento- ja ohjausverkkona (C2) hyökkäyksissä arvokkaita verkkoja vastaan. Lumenin raportissa kuvaama verkko koostuu pääasiassa Ciscon, DrayTekin ja pienemmässä määrin Netgearin käytöstä poistetuista reitittimistä.

SecurityScorecardin tutkijat käyttivät Lumenin raportissaan julkaisemia kompromissiindikaattoreita (IoC) selvittääkseen, pystyisivätkö he tunnistamaan Volt Typhoonin kampanjaan liittyvän uuden infrastruktuurin. The tutkimus osoitti, että uhkaryhmän toiminta saattaa olla aiemmin luultua laajempaa, sanoo SecurityScorecardin henkilöstön uhkien tutkija Rob Ames.

Esimerkiksi Volt Typhoon näyttää olleen vastuussa jopa 30 prosentin – eli 325:stä 1,116 320:sta – vaarantumisesta Cisco RV325/2 -reitittimistä, jotka SecurityScorecard havaitsi C37-bottiverkossa 1 päivän aikana. Tietoturvatoimittajan tutkijat havaitsivat säännöllisiä yhteyksiä vaarantuneiden Cisco-laitteiden ja tunnetun Volt Typhoon -infrastruktuurin välillä 2023-7, mikä viittaa erittäin aktiiviseen toimintaan.

SecurityScorecardin kaivaukset osoittivat myös, että Volt Typhoon otti käyttöön "fy.sh", tähän asti tuntemattoman Web-kuoren Ciscon reitittimiin ja muihin verkon reunalaitteisiin, joihin ryhmä tällä hetkellä kohdistuu. Lisäksi SecurityScorecard pystyi tunnistamaan useita uusia IP-osoitteita, jotka näyttivät liittyvän Volt Typhoon -toimintaan.

"SecurityScorecard käytti Volt Typhooniin linkitettyjä aiemmin levitettyjä IoC:itä tunnistamaan havaitsemamme äskettäin vaarantuneet laitteet, aiemmin määrittelemättömän verkkokuoren (fy.sh) ja muut IP-osoitteet, jotka saattavat edustaa uusia IoC:itä", Ames sanoo.

Living off-the-Land kyberhyökkäykset

Volt Typhoon on uhkaryhmä Yhdysvaltain kyberturvallisuus- ja infrastruktuurivirasto (CISA) on tunnistettu valtion tukemaksi Kiinan uhkatoimijaksi, joka kohdistuu Yhdysvaltain kriittisen infrastruktuurin sektoreihin. Microsoft, joka raportoi ryhmästä ensimmäisenä toukokuussa 2023, on kuvaillut sitä aktiiviseksi ainakin toukokuusta 2021 lähtien, toimineen Kiinassa ja harjoittaneen laajamittaista kybervakoilua käyttämällä lukuisia maan ulkopuolella elämisen tekniikoita. Yhtiö on arvioinut konsernin kehittävän valmiuksia häiritä kriittisiä viestintäominaisuuksia Yhdysvaltojen ja Aasian välillä mahdollisten tulevien konfliktien aikana.

Ames sanoo, että Volt Typhoonin vaarantuneiden reitittimien käyttö tiedonsiirrossa on yksi osoitus ryhmän sitoutumisesta varkain.

"Ryhmä reitittää usein liikenteensä näiden laitteiden kautta välttääkseen maantieteellisen havainnoinnin, kun se kohdistaa organisaatioihin samalla alueella kuin vaarantuneet reitittimet", hän sanoo. "Nämä organisaatiot eivät välttämättä huomaa haitallista toimintaa, jos siihen liittyvä liikenne näyttää olevan peräisin organisaation kotipaikkakunnalta."

Haavoittuvien loppukäyttövarusteiden kyberkohdistus

Volt Typhoonin kohdistaminen käyttöiän lopussa oleviin laitteisiin on myös erittäin järkevää hyökkääjän näkökulmasta, Ames sanoo. On olemassa noin 35 tunnettua kriittistä haavoittuvuutta, joiden vakavuusluokitus on vähintään 9/10 CVSS-asteikolla – mukaan lukien kaksi CISA:n Tunnettujen hyödynnettyjen haavoittuvuuksien luettelossa – jotka liittyvät Cisco RV320 -reitittimiin, joihin Volt Typhoon on kohdistanut. Cisco lopetti tekniikan virheenkorjausten, ylläpitojulkaisujen ja korjausten julkaisemisen kolme vuotta sitten, tammikuussa 2021. Ciscon laitteiden lisäksi Volt Typhoon -linkitetty botnet sisältää myös vaarantuneet vanhat DrayTek Vigor- ja Netgear ProSafe -reitittimet.

"Laitteiden itsensä näkökulmasta ne ovat alhaalla roikkuvia hedelmiä", Ames sanoo. "Koska "käyttöiän päättyminen" tarkoittaa, että laitteiden valmistajat eivät enää julkaise niille päivityksiä, niihin vaikuttavat haavoittuvuudet jäävät todennäköisesti korjaamatta, jolloin laitteet ovat alttiita kompromisseille.

Callie Guenther, Critical Startin kyberuhkien tutkimuksesta vastaava johtaja, sanoo Volt Typhoonin strategisen kohdistamisen Cisco-reitittimiin, fy.sh:n kaltaisten räätälöityjen työkalujen kehittäminen sekä maantieteellinen ja sektorikohtainen kohdistus viittaavat erittäin kehittyneeseen toimintaan.

"Vanhoihin järjestelmiin keskittyminen ei ole yleinen taktiikka uhkatoimijoiden keskuudessa, koska se vaatii erityistietoa vanhemmista järjestelmistä ja niiden haavoittuvuuksista, joita ei ehkä tunneta tai dokumentoida laajalti", Guenther sanoo. "Se on kuitenkin kasvava trendi, etenkin valtion tukemien toimijoiden keskuudessa, joilla on resurssit ja motivaatio tehdä laajaa tiedustelua ja kehittää räätälöityjä hyväksikäyttöjä."

Esimerkkeinä hän mainitsee useita uhkatekijöitä, jotka kohdistuvat ns Ripple20-haavoittuvuudet TCP/IP-pinossa, joka vaikutti miljooniin vanhoihin IoT-laitteisiin sekä kiinalaisiin ja iranilaisiin uhkaryhmiin, jotka kohdistuivat vanhempien VPN-tuotteiden puutteisiin.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure