וולט טייפון מגביר פעילות זדונית נגד תשתית קריטית

קבוצת ריגול הסייבר הנתמכת על ידי סין Volt Typhoon מכוונת באופן שיטתי למכשירי סיסקו מדור קודם בקמפיין מתוחכם וחשקאי להגדלת תשתית התקיפה שלה.

במקרים רבים, שחקן האיום, הידוע כמי שמכוון לתשתית קריטית, מנצל כמה נקודות תורפה משנת 2019 בנתבים, כדי לפרוץ למכשירי יעד ולהשתלט עליהם.

מיקוד למגזרי תשתיות קריטיות בארה"ב

חוקרים מצוות מודיעין האיומים של SecurityScorecard הבחינו בפעילות כאשר ערכו כמה חקירות מעקב על ספקים אחרונים דיווחים בתקשורת על פריצת וולט טייפון לארגוני תשתית קריטית בארה"ב והנחת קרקע לשיבושים עתידיים אפשריים. ההתקפות כוונו לתשתיות מים, ספקי חשמל, תחבורה ומערכות תקשורת. הקורבנות של הקבוצה כללו ארגונים בארה"ב, בריטניה ואוסטרליה.

אחד מדיווחי הספקים, מ לום, תיאר רשת בוט המורכבת מ נתבים למשרד קטן/משרד ביתי (SOHO). ש-Volt Typhoon - וקבוצות איומים סיניות אחרות - משתמשות בו כרשת פיקוד ושליטה (C2) בהתקפות נגד רשתות בעלות ערך גבוה. הרשת אותה תיאר לומן בדוח מורכבת בעיקר מנתבים מסוף החיים של Cisco, DrayTek, ובמידה קטנה יותר, Netgear.

חוקרי SecurityScorecard השתמשו באינדיקטורים של פשרה (IoCs) שפרסמה לומן עם הדו"ח שלה כדי לראות אם הם יכולים לזהות תשתית חדשה הקשורה לקמפיין של וולט טייפון. ה חקירה הראה שהפעילות של קבוצת האיומים עשויה להיות נרחבת יותר ממה שחשבו בעבר, אומר רוב איימס, חוקר איומים ב-SecurityScorecard.

לדוגמה, נראה ש-Volt Typhoon היה אחראי לפגיעה של עד 30% - או 325 מתוך 1,116 - מנתבי Cisco RV320/325 בסוף החיים ש-SecurityScorecard צפה ברשת הבוט C2 במשך תקופה של 37 ימים. חוקרי ספק האבטחה צפו בחיבורים קבועים בין מכשירי סיסקו שנפגעו ותשתית וולט טייפון ידועה בין ה-1 בדצמבר 2023 ל-7 בינואר 2024, מה שמצביע על פעולה פעילה מאוד.

החפירה של SecurityScorecard הראתה גם ש-Volt Typhoon פורס את "fy.sh", מעטפת אינטרנט לא ידועה עד כה על נתבי סיסקו ומכשירי קצה אחרים של הרשת שאליהם הקבוצה מכוונת כעת. בנוסף, SecurityScorecard הצליח לזהות מספר כתובות IP חדשות שנראו קשורות לפעילות וולט טייפון.

"SecurityScorecard השתמש ב-IoC שהופצו בעבר המקושרים ל-Volt Typhoon כדי לזהות את המכשירים שנפרצו לאחרונה, את ה-webshell שלא צוינה בעבר (fy.sh), ואת כתובות ה-IP האחרות שעשויות לייצג IoCs חדשים", אומר איימס.

מתקפות סייבר לחיות מחוץ לארץ

וולט טייפון היא קבוצת איום שה הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) זיהה כשחקן איום סיני בחסות המדינה המכוון למגזרי תשתית קריטיים בארה"ב. מיקרוסופט, הראשון שדיווח על הקבוצה במאי 2023, תיאר אותה כפעילה מאז מאי 2021 לפחות, מבוססת בסין, ומנהלת ריגול סייבר בקנה מידה גדול תוך שימוש במגוון טכניקות חיים מחוץ לאדמה. החברה העריכה את הקבוצה כמפתחת יכולות לשבש יכולות תקשורת קריטיות בין ארה"ב ואסיה במהלך סכסוכים עתידיים אפשריים.

איימס אומר שהשימוש של וולט טייפון בנתבים שנפגעו לצורך העברת נתונים הוא אינדיקציה אחת למחויבות הקבוצה להתגנבות.

"הקבוצה לעיתים קרובות מנתבת את התעבורה שלה דרך המכשירים הללו על מנת להימנע מזיהוי מבוסס גיאוגרפי בעת מיקוד לארגונים באותו אזור כמו הנתבים שנפגעו", הוא אומר. "ייתכן שארגונים אלה יבחינו בפעילות זדונית אם נראה כי התנועה המעורבת מקורה מהאזור שבו הארגון מבוסס."

מיקוד סייבר של ציוד פגיע בסוף החיים

הכוונה של וולט טייפון למכשירי סוף החיים גם היא הגיונית מאוד מנקודת המבט של התוקף, אומר איימס. ידועות כ-35 נקודות תורפה קריטיות עם דירוג חומרה של לפחות 9 מתוך 10 בסולם CVSS - כולל שתיים בקטלוג ה- Known Exploited Vulnerabilities של CISA - הקשורות לנתבי Cisco RV320 ש-Volt Typhoon מכוונת אליהם. סיסקו הפסיקה להנפיק כל תיקוני באגים, מהדורות תחזוקה ותיקונים עבור הטכנולוגיה לפני שלוש שנים, בינואר 2021. בנוסף למכשירי סיסקו, הבוטנט המקושר ל-Volt Typhoon כולל גם נתבים מדור קודם של DrayTek Vigor ו-Netgear ProSafe.

"מנקודת המבט של המכשירים עצמם, הם פרי תלוי נמוך", אומר איימס. "מכיוון ש'סוף החיים' פירושו שיצרני המכשירים לא יוציאו יותר עדכונים עבורם, סביר להניח שפגיעויות המשפיעות עליהם לא יטופלו, ותותירו את המכשירים מועדים לפשרות".

Callie Guenther, מנהלת בכירה של חקר איומי סייבר ב-Critical Start, אומרת שהמיקוד האסטרטגי של Volt Typhoon לנתבי סיסקו סוף החיים, הפיתוח שלה של כלים מותאמים אישית כמו fy.sh והמיקוד הגיאוגרפי והמגזרי שלו מרמזים על פעולה מתוחכמת ביותר.

"התמקדות במערכות מדור קודם אינה טקטיקה נפוצה בקרב גורמי איומים, בעיקר משום שהיא דורשת ידע ספציפי על מערכות ישנות יותר ופגיעויות שלהן, שאולי אינן ידועות או מתועדות באופן נרחב", אומר גינטר. "עם זאת, מדובר במגמה הולכת וגוברת, במיוחד בקרב שחקנים בחסות המדינה שיש להם את המשאבים והמוטיבציה לבצע סיור נרחב ולפתח מעללים מותאמים".

כדוגמאות, היא מצביעה על מספר רב של גורמי איומים המכוונים למה שנקרא פגיעויות של Ripple20 בערימת TCP/IP שהשפיעה על מיליוני מכשירי IoT מדור קודם, כמו גם קבוצות איומים סיניות ואיראניות המתמקדות בפגמים במוצרי VPN ישנים יותר.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure