Volt Typhoon voert kwaadaardige activiteiten tegen kritieke infrastructuur op

De door China gesteunde cyberspionagegroep Volt Typhoon richt zich systematisch op oudere Cisco-apparaten in een geavanceerde en heimelijke campagne om zijn aanvalsinfrastructuur uit te breiden.

In veel gevallen maakt de bedreigingsacteur, die bekend staat om zijn aanvallen op kritieke infrastructuur, gebruik van een aantal kwetsbaarheden uit 2019 in routers om in te breken op doelapparaten en de controle over deze apparaten over te nemen.

Gericht op Amerikaanse kritieke infrastructuursectoren

Onderzoekers van het dreigingsinformatieteam van SecurityScorecard ontdekten de activiteit tijdens een aantal vervolgonderzoeken naar recente leveranciers en mediaberichten over Volt Typhoon die inbreekt in Amerikaanse kritieke infrastructuurorganisaties en de basis legt voor mogelijke toekomstige verstoringen. De aanvallen waren gericht op waterbedrijven, energieleveranciers, transport- en communicatiesystemen. Onder de slachtoffers van de groep bevinden zich organisaties in de VS, het VK en Australië.

Een van de leveranciersrapporten, van Lumen, beschreef een botnet bestaande uit routers voor kleine kantoren/thuiskantoren (SOHO). dat Volt Typhoon – en andere Chinese dreigingsgroepen – gebruikt als command-and-control (C2) netwerk bij aanvallen op hoogwaardige netwerken. Het netwerk dat Lumen in het rapport beschreef, bestaat vooral uit end-of-life routers van Cisco, DrayTek en, in mindere mate, Netgear.

SecurityScorecard-onderzoekers gebruikten de indicatoren van compromissen (IoC's) die Lumen bij zijn rapport publiceerde om te zien of ze nieuwe infrastructuur konden identificeren die verband hield met de campagne van Volt Typhoon. De onderzoek toonde aan dat de activiteiten van de dreigingsgroep wellicht uitgebreider zijn dan eerder werd gedacht, zegt Rob Ames, stafonderzoeker naar dreigingen bij SecurityScorecard.

Volt Typhoon lijkt bijvoorbeeld verantwoordelijk te zijn geweest voor het compromitteren van maar liefst 30% – of 325 van de 1,116 – van de Cisco RV320/325-routers die aan het einde van hun levensduur zijn, die SecurityScorecard gedurende een periode van 2 dagen op het C37-botnet heeft waargenomen. De onderzoekers van de beveiligingsleverancier hebben tussen 1 december 2023 en 7 januari 2024 regelmatige verbindingen waargenomen tussen de gecompromitteerde Cisco-apparaten en de bekende Volt Typhoon-infrastructuur, wat duidt op een zeer actieve operatie.

Uit het onderzoek van SecurityScorecard bleek ook dat Volt Typhoon “fy.sh” implementeerde, een tot nu toe onbekende webshell op de Cisco-routers en andere netwerkrandapparaten waarop de groep zich momenteel richt. Bovendien kon SecurityScorecard meerdere nieuwe IP-adressen identificeren die verband leken te houden met Volt Typhoon-activiteit.

“SecurityScorecard gebruikte eerder verspreide IoC’s die waren gekoppeld aan Volt Typhoon om de nieuw gecompromitteerde apparaten die we hebben waargenomen, de voorheen niet-gespecificeerde webshell (fy.sh) en de andere IP-adressen die mogelijk nieuwe IoC’s vertegenwoordigen te identificeren”, zegt Ames.

Cyberaanvallen die buiten het land leven

Volt tyfoon is een bedreigingsgroep die de Amerikaans Cybersecurity- en Infrastructuuragentschap (CISA) heeft zich geïdentificeerd als een door de staat gesponsorde Chinese dreigingsacteur die zich richt op Amerikaanse kritieke infrastructuursectoren. Microsoft, de eerste die in mei 2023 over de groep rapporteerde, heeft beschreven dat deze in ieder geval sinds mei 2021 actief is, gevestigd is in China en grootschalige cyberspionage uitvoert met behulp van een hele reeks technieken om van het land te leven. Het bedrijf heeft beoordeeld dat de groep capaciteiten ontwikkelt om cruciale communicatiemogelijkheden tussen de VS en Azië te verstoren tijdens potentiële toekomstige conflicten.

Ames zegt dat het gebruik van gecompromitteerde routers door Volt Typhoon voor gegevensoverdracht een indicatie is van de toewijding van de groep aan stealth.

“De groep leidt zijn verkeer vaak via deze apparaten om geografische detectie te vermijden wanneer ze zich richten op organisaties in hetzelfde gebied als de gecompromitteerde routers”, zegt hij. “Het is minder waarschijnlijk dat deze organisaties kwaadwillige activiteiten opmerken als het betrokken verkeer afkomstig lijkt te zijn uit het gebied waarin de organisatie is gevestigd.”

Cybertargeting van kwetsbare apparatuur die het einde van de levensduur heeft bereikt

Dat Volt Typhoon zich richt op afgedankte apparaten is ook logisch vanuit het perspectief van de aanvaller, zegt Ames. Er zijn ongeveer 35 bekende kritieke kwetsbaarheden met een ernstgraad van minstens 9 op 10 op de CVSS-schaal – waaronder twee in de Known Exploited Vulnerabilities-catalogus van CISA – die verband houden met de Cisco RV320-routers waarop Volt Typhoon zich richt. Cisco stopte drie jaar geleden, in januari 2021, met het uitgeven van bugfixes, onderhoudsreleases en reparaties voor de technologie. Naast de Cisco-apparaten omvat het aan Volt Typhoon gekoppelde botnet ook gecompromitteerde oudere DrayTek Vigor- en Netgear ProSafe-routers.

"Vanuit het perspectief van de apparaten zelf zijn ze laaghangend fruit", zegt Ames. “Aangezien ‘end-of-life’ betekent dat de producenten van de apparaten geen updates meer voor hen zullen uitbrengen, zullen kwetsbaarheden die hen treffen waarschijnlijk niet worden aangepakt, waardoor de apparaten vatbaar zijn voor compromittering.”

Callie Guenther, senior manager onderzoek naar cyberdreigingen bij Critical Start, zegt dat Volt Typhoons strategische targeting op afgedankte Cisco-routers, de ontwikkeling van aangepaste tools zoals fy.sh en de geografische en sectorale targeting wijzen op een zeer geavanceerde operatie.

“Het focussen op oudere systemen is geen gebruikelijke tactiek onder bedreigingsactoren, vooral omdat het specifieke kennis vereist over oudere systemen en hun kwetsbaarheden, die misschien niet algemeen bekend of gedocumenteerd zijn”, zegt Guenther. “Het is echter een groeiende trend, vooral onder door de staat gesponsorde actoren die over de middelen en de motivatie beschikken om uitgebreide verkenningen uit te voeren en op maat gemaakte exploits te ontwikkelen.”

Als voorbeeld wijst ze op meerdere dreigingsactoren die zich richten op de zogenaamde Ripple20-kwetsbaarheden in een TCP/IP-stack die miljoenen oudere IoT-apparaten trof, evenals Chinese en Iraanse dreigingsgroepen die zich richtten op fouten in oudere VPN-producten.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure