Volt Typhoon intensifica le attività dannose contro le infrastrutture critiche

Il gruppo di spionaggio informatico sostenuto dalla Cina Volt Typhoon sta sistematicamente prendendo di mira i dispositivi Cisco legacy in una campagna sofisticata e furtiva per far crescere la propria infrastruttura di attacco.

In molti casi, l’autore della minaccia, noto per aver preso di mira infrastrutture critiche, sta sfruttando un paio di vulnerabilità dei router del 2019, per penetrare nei dispositivi presi di mira e prenderne il controllo.

Mirare ai settori delle infrastrutture critiche statunitensi

I ricercatori del team di intelligence sulle minacce di SecurityScorecard hanno individuato l'attività durante alcune indagini di follow-up sui recenti fornitori e i media riguardo al Volt Typhoon che irrompe nelle organizzazioni delle infrastrutture critiche degli Stati Uniti e getta le basi per potenziali futuri disagi. Gli attacchi hanno preso di mira i servizi idrici, i fornitori di energia, i trasporti e i sistemi di comunicazione. Le vittime del gruppo includono organizzazioni negli Stati Uniti, nel Regno Unito e in Australia.

Uno dei rapporti del venditore, da Lumen, ha descritto una botnet composta da router per piccoli uffici/uffici domestici (SOHO). che Volt Typhoon – e altri gruppi di minacce cinesi – sta utilizzando come rete di comando e controllo (C2) negli attacchi contro reti di alto valore. La rete descritta da Lumen nel rapporto è costituita principalmente da router fuori uso di Cisco, DrayTek e, in misura minore, Netgear.

I ricercatori di SecurityScorecard hanno utilizzato gli indicatori di compromissione (IoC) rilasciati da Lumen con il suo rapporto per vedere se potevano identificare nuove infrastrutture associate alla campagna di Volt Typhoon. IL indagine ha dimostrato che l'attività del gruppo di minacce potrebbe essere più estesa di quanto si pensasse in precedenza, afferma Rob Ames, ricercatore sulle minacce presso SecurityScorecard.

Ad esempio, Volt Typhoon sembra essere stato responsabile di aver compromesso fino al 30% (o 325 su 1,116) dei router Cisco RV320/325 a fine vita che SecurityScorecard ha osservato sulla botnet C2 in un periodo di 37 giorni. I ricercatori del fornitore di sicurezza hanno osservato connessioni regolari tra i dispositivi Cisco compromessi e la nota infrastruttura Volt Typhoon tra il 1 dicembre 2023 e il 7 gennaio 2024, suggerendo un'operazione molto attiva.

Gli scavi di SecurityScorecard hanno anche mostrato che Volt Typhoon sta implementando "fy.sh", una web shell finora sconosciuta sui router Cisco e altri dispositivi periferici della rete che il gruppo sta attualmente prendendo di mira. Inoltre, SecurityScorecard è riuscita a identificare numerosi nuovi indirizzi IP che sembravano collegati all'attività del Volt Typhoon.

"SecurityScorecard ha utilizzato gli IoC precedentemente diffusi e collegati a Volt Typhoon per identificare i nuovi dispositivi compromessi che abbiamo osservato, la webshell precedentemente non specificata (fy.sh) e gli altri indirizzi IP che potrebbero rappresentare nuovi IoC", afferma Ames.

Attacchi informatici che vivono fuori terra

Tifone Volt è un gruppo pericoloso che il Agenzia statunitense per la sicurezza informatica e le infrastrutture (CISA) è stato identificato come un attore cinese sponsorizzato dallo stato che prende di mira i settori delle infrastrutture critiche degli Stati Uniti. Microsoft, il primo a riferire sul gruppo nel maggio 2023, lo ha descritto come attivo almeno dal maggio 2021, con sede in Cina e conducente spionaggio informatico su larga scala utilizzando una serie di tecniche di vita fuori terra. La società ha valutato che il gruppo sta sviluppando capacità per interrompere le capacità di comunicazione critiche tra gli Stati Uniti e l’Asia durante potenziali conflitti futuri.

Ames afferma che l'uso da parte di Volt Typhoon di router compromessi per il trasferimento dei dati è un'indicazione dell'impegno del gruppo verso la furtività.

"Il gruppo spesso instrada il proprio traffico attraverso questi dispositivi per evitare il rilevamento geografico quando prende di mira organizzazioni nella stessa area dei router compromessi", afferma. "Queste organizzazioni potrebbero avere meno probabilità di notare attività dannose se il traffico coinvolto sembra provenire dall'area in cui ha sede l'organizzazione."

Targeting informatico di dispositivi vulnerabili a fine vita

Il fatto che Volt Typhoon prenda di mira i dispositivi a fine vita ha molto senso anche dal punto di vista dell'aggressore, afferma Ames. Esistono circa 35 vulnerabilità critiche note con un punteggio di gravità di almeno 9 su 10 sulla scala CVSS - incluse due nel catalogo delle vulnerabilità sfruttate note di CISA - associate ai router Cisco RV320 presi di mira da Volt Typhoon. Cisco ha smesso di rilasciare correzioni di bug, rilasci di manutenzione e riparazioni per la tecnologia tre anni fa, nel gennaio 2021. Oltre ai dispositivi Cisco, la botnet collegata a Volt Typhoon include anche i router legacy DrayTek Vigor e Netgear ProSafe compromessi.

"Dal punto di vista dei dispositivi stessi, sono frutti a portata di mano", afferma Ames. "Poiché 'fine vita' significa che i produttori dei dispositivi non rilasceranno più aggiornamenti, è probabile che le vulnerabilità che li riguardano non vengano risolte, lasciando i dispositivi suscettibili di essere compromessi."

Callie Guenther, senior manager della ricerca sulle minacce informatiche presso Critical Start, afferma che il targeting strategico di Volt Typhoon sui router Cisco a fine vita, il suo sviluppo di strumenti personalizzati come fy.sh e il suo targeting geografico e settoriale suggeriscono un'operazione altamente sofisticata.

“Concentrarsi sui sistemi legacy non è una tattica comune tra gli autori delle minacce, principalmente perché richiede una conoscenza specifica dei sistemi più vecchi e delle loro vulnerabilità, che potrebbero non essere ampiamente conosciute o documentate”, afferma Guenther. “Tuttavia, si tratta di una tendenza in crescita, soprattutto tra gli attori sponsorizzati dallo Stato che hanno le risorse e la motivazione per condurre ricognizioni approfondite e sviluppare exploit su misura”.

Ad esempio, indica molteplici autori di minacce che prendono di mira i cosiddetti Vulnerabilità di Ripple20 in uno stack TCP/IP che ha colpito milioni di dispositivi IoT legacy, nonché gruppi di minacce cinesi e iraniani che hanno preso di mira i difetti dei vecchi prodotti VPN.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure