वोल्ट टाइफून ने महत्वपूर्ण बुनियादी ढांचे के खिलाफ दुर्भावनापूर्ण गतिविधि को बढ़ावा दिया

वोल्ट टाइफून ने महत्वपूर्ण बुनियादी ढांचे के खिलाफ दुर्भावनापूर्ण गतिविधि को बढ़ावा दिया

समय टिकट: 11 जनवरी, 2024 शाम 5:49 बजे
वोल्ट टाइफून ने क्रिटिकल इंफ्रास्ट्रक्चर प्लेटोब्लॉकचेन डेटा इंटेलिजेंस के खिलाफ दुर्भावनापूर्ण गतिविधि को बढ़ा दिया। लंबवत खोज. ऐ.

चीन समर्थित साइबर जासूसी समूह वोल्ट टाइफून अपने हमले के बुनियादी ढांचे को बढ़ाने के लिए एक परिष्कृत और गुप्त अभियान में पुराने सिस्को उपकरणों को व्यवस्थित रूप से लक्षित कर रहा है।

कई उदाहरणों में, महत्वपूर्ण बुनियादी ढांचे को लक्षित करने के लिए जाना जाने वाला खतरा अभिनेता, लक्ष्य उपकरणों में सेंध लगाने और उन पर नियंत्रण लेने के लिए, राउटर्स में 2019 से कुछ कमजोरियों का फायदा उठा रहा है।

अमेरिकी महत्वपूर्ण बुनियादी ढांचा क्षेत्रों को लक्षित करना

सिक्योरिटीस्कोरकार्ड की खतरा खुफिया टीम के शोधकर्ताओं ने हाल के विक्रेता पर कुछ अनुवर्ती जांच करते समय गतिविधि देखी मीडिया रिपोर्टों वोल्ट टाइफून के अमेरिका के महत्वपूर्ण बुनियादी ढांचे संगठनों में सेंध लगाने और संभावित भविष्य के व्यवधानों के लिए जमीन तैयार करने के बारे में। हमलों ने जल उपयोगिताओं, बिजली आपूर्तिकर्ताओं, परिवहन और संचार प्रणालियों को लक्षित किया है। समूह के पीड़ितों में अमेरिका, ब्रिटेन और ऑस्ट्रेलिया के संगठन शामिल हैं।

विक्रेताओं में से एक की रिपोर्ट, से लुमेन, जिसमें शामिल एक बोटनेट का वर्णन किया गया है छोटे कार्यालय/गृह कार्यालय (एसओएचओ) राउटर वोल्ट टाइफून - और अन्य चीनी खतरा समूह - उच्च-मूल्य वाले नेटवर्क के खिलाफ हमलों में कमांड-एंड-कंट्रोल (सी 2) नेटवर्क के रूप में उपयोग कर रहे हैं। लुमेन ने रिपोर्ट में जिस नेटवर्क का वर्णन किया है, उसमें मुख्य रूप से सिस्को, ड्रेटेक और कुछ हद तक नेटगियर के एंड-ऑफ-लाइफ राउटर शामिल हैं।

सिक्योरिटीस्कोरकार्ड शोधकर्ताओं ने समझौते के संकेतकों (आईओसी) का उपयोग किया, जिसे लुमेन ने अपनी रिपोर्ट के साथ जारी किया था, यह देखने के लिए कि क्या वे वोल्ट टाइफून के अभियान से जुड़े नए बुनियादी ढांचे की पहचान कर सकते हैं। जांच सिक्युरिटीस्कोरकार्ड के स्टाफ थ्रेट रिसर्चर रॉब एम्स का कहना है कि खतरा समूह की गतिविधि पहले की तुलना में अधिक व्यापक हो सकती है।

उदाहरण के लिए, ऐसा प्रतीत होता है कि वोल्ट टाइफून 30% - या 325 में से 1,116 - जीवन के अंत वाले सिस्को आरवी320/325 राउटर्स से समझौता करने के लिए जिम्मेदार है, जिसे सिक्योरिटीस्कोरकार्ड ने 2 दिनों की अवधि में सी37 बॉटनेट पर देखा था। सुरक्षा विक्रेता के शोधकर्ताओं ने 1 दिसंबर, 2023 और 7 जनवरी, 2024 के बीच समझौता किए गए सिस्को उपकरणों और ज्ञात वोल्ट टाइफून बुनियादी ढांचे के बीच नियमित कनेक्शन देखा, जो एक बहुत ही सक्रिय ऑपरेशन का सुझाव देता है।

सिक्योरिटीस्कोरकार्ड की खुदाई में वोल्ट टाइफून को सिस्को राउटर्स और अन्य नेटवर्क एज डिवाइसों पर एक अब तक अज्ञात वेब शेल "fy.sh" को तैनात करते हुए भी दिखाया गया है, जिसे समूह वर्तमान में लक्षित कर रहा है। इसके अलावा, सिक्योरिटीस्कोरकार्ड कई नए आईपी पते की पहचान करने में सक्षम था जो वोल्ट टाइफून गतिविधि से जुड़े हुए दिखाई दिए।

एम्स का कहना है, "सिक्योरिटीस्कोरकार्ड ने हमारे द्वारा देखे गए नए समझौता किए गए उपकरणों, पहले से अनिर्दिष्ट वेबशेल (fy.sh), और अन्य आईपी पते जो नए आईओसी का प्रतिनिधित्व कर सकते हैं, की पहचान करने के लिए वोल्ट टाइफून से जुड़े पहले प्रसारित आईओसी का उपयोग किया था।"

ज़मीन से दूर रहने वाले साइबर हमले

वोल्ट टाइफून एक खतरा समूह है कि अमेरिकी साइबर सुरक्षा और अवसंरचना एजेंसी (सीआईएसए) अमेरिका के महत्वपूर्ण बुनियादी ढांचा क्षेत्रों को निशाना बनाने वाले एक राज्य-प्रायोजित चीनी खतरा अभिनेता के रूप में पहचाना गया है। माइक्रोसॉफ्टमई 2023 में समूह पर रिपोर्ट करने वाले पहले व्यक्ति ने इसे कम से कम मई 2021 से सक्रिय होने, चीन में स्थित होने और जमीन से बाहर रहने वाली कई तकनीकों का उपयोग करके बड़े पैमाने पर साइबर जासूसी करने के रूप में वर्णित किया है। कंपनी ने संभावित भविष्य के संघर्षों के दौरान अमेरिका और एशिया के बीच महत्वपूर्ण संचार क्षमताओं को बाधित करने की क्षमता विकसित करने वाले समूह का मूल्यांकन किया है।

एम्स का कहना है कि वोल्ट टाइफून द्वारा डेटा ट्रांसफर के लिए समझौता किए गए राउटर का उपयोग समूह की गोपनीयता के प्रति प्रतिबद्धता का एक संकेत है।

वह कहते हैं, "समूह अक्सर अपने ट्रैफ़िक को इन उपकरणों के माध्यम से रूट करता है ताकि समझौता किए गए राउटर के समान क्षेत्र में संगठनों को लक्षित करते समय भौगोलिक रूप से आधारित पहचान से बचा जा सके।" "इन संगठनों को दुर्भावनापूर्ण गतिविधि पर ध्यान देने की संभावना कम हो सकती है यदि इसमें शामिल ट्रैफ़िक उस क्षेत्र से उत्पन्न होता है जहां संगठन आधारित है।"

कमजोर अंत-जीवन गियर का साइबर-लक्ष्यीकरण

एम्स का कहना है कि वोल्ट टाइफून द्वारा जीवन के अंत वाले उपकरणों को निशाना बनाना भी हमलावर के नजरिए से काफी मायने रखता है। सीवीएसएस पैमाने पर 35 में से कम से कम 9 की गंभीरता रेटिंग के साथ कुछ 10 ज्ञात महत्वपूर्ण कमजोरियां हैं - जिनमें सीआईएसए की ज्ञात शोषण कमजोरियों की सूची में दो शामिल हैं - सिस्को आरवी 320 राउटर से जुड़े हुए हैं जिन्हें वोल्ट टाइफून लक्षित कर रहा है। सिस्को ने तीन साल पहले, जनवरी 2021 में तकनीक के लिए कोई भी बग फिक्स, रखरखाव रिलीज़ और मरम्मत जारी करना बंद कर दिया था। सिस्को उपकरणों के अलावा, वोल्ट टाइफून-लिंक्ड बॉटनेट में समझौता किए गए विरासत ड्रेटेक विगोर और नेटगियर प्रोसेफ राउटर भी शामिल हैं।

एम्स का कहना है, "डिवाइस के नजरिए से, वे कम लटकने वाले फल हैं।" "चूंकि 'एंड-ऑफ-लाइफ' का मतलब है कि डिवाइस के निर्माता अब उनके लिए अपडेट जारी नहीं करेंगे, इसलिए उन्हें प्रभावित करने वाली कमजोरियों का समाधान नहीं होने की संभावना है, जिससे डिवाइस समझौता करने के लिए अतिसंवेदनशील हो जाएंगे।"

क्रिटिकल स्टार्ट में साइबर खतरा अनुसंधान के वरिष्ठ प्रबंधक कैली गेंथर का कहना है कि वोल्ट टाइफून का जीवन के अंत के सिस्को राउटर्स का रणनीतिक लक्ष्यीकरण, fy.sh जैसे कस्टम टूल का विकास, और इसका भौगोलिक और क्षेत्रीय लक्ष्यीकरण एक अत्यधिक परिष्कृत ऑपरेशन का सुझाव देता है।

गेंथर कहते हैं, "विरासत प्रणालियों पर ध्यान केंद्रित करना खतरे वाले अभिनेताओं के बीच एक आम रणनीति नहीं है, मुख्य रूप से क्योंकि इसके लिए पुराने सिस्टम और उनकी कमजोरियों के बारे में विशिष्ट ज्ञान की आवश्यकता होती है, जो व्यापक रूप से ज्ञात या प्रलेखित नहीं हो सकता है।" "हालांकि, यह एक बढ़ती प्रवृत्ति है, विशेष रूप से राज्य-प्रायोजित अभिनेताओं के बीच जिनके पास व्यापक टोही करने और अनुरूप कारनामे विकसित करने के लिए संसाधन और प्रेरणा है।"

उदाहरण के तौर पर, वह तथाकथित को निशाना बनाने वाले कई ख़तरनाक अभिनेताओं की ओर इशारा करती है Ripple20 भेद्यता एक टीसीपी/आईपी स्टैक में, जिसने लाखों पुराने IoT उपकरणों को प्रभावित किया, साथ ही पुराने वीपीएन उत्पादों में खामियों को लक्षित करने वाले चीनी और ईरानी खतरे समूहों को भी प्रभावित किया।

समय टिकट:

से अधिक डार्क रीडिंग