Volttyfon øker ondsinnet aktivitet mot kritisk infrastruktur

Volttyfon øker ondsinnet aktivitet mot kritisk infrastruktur

Tidsstempel: 11. januar 2024 5:49
Volt Typhoon øker ondsinnet aktivitet mot kritisk infrastruktur PlatoBlockchain-dataintelligens. Vertikalt søk. Ai.

Den Kina-støttede cyberspionasjegruppen Volt Typhoon retter seg systematisk mot eldre Cisco-enheter i en sofistikert og snikende kampanje for å utvide angrepsinfrastrukturen.

I mange tilfeller utnytter trusselaktøren, kjent for å målrette mot kritisk infrastruktur, et par sårbarheter fra 2019 i rutere, for å bryte seg inn i målenheter og ta kontroll over dem.

Målretting mot amerikanske kritiske infrastruktursektorer

Forskere fra SecurityScorecards trusseletterretningsteam oppdaget aktiviteten da de gjorde noen oppfølgingsundersøkelser på nylig leverandør og medierapporter om Volt Typhoon som bryter seg inn i amerikanske kritiske infrastrukturorganisasjoner og legger grunnlaget for potensielle fremtidige forstyrrelser. Angrepene har rettet seg mot vannverk, kraftleverandører, transport og kommunikasjonssystemer. Gruppens ofre har inkludert organisasjoner i USA, Storbritannia og Australia.

En av leverandøren rapporterer, fra Lumen, beskrev et botnett som består av små kontor/hjemmekontor (SOHO) rutere som Volt Typhoon – og andre kinesiske trusselgrupper – bruker som et kommando-og-kontroll-nettverk (C2) i angrep mot nettverk av høy verdi. Nettverket som Lumen beskrev i rapporten består hovedsakelig av utgåtte rutere fra Cisco, DrayTek, og i mindre grad Netgear.

SecurityScorecard-forskere brukte indikatorene for kompromiss (IoCs) som Lumen la ut sammen med rapporten for å se om de kunne identifisere ny infrastruktur knyttet til Volt Typhoons kampanje. De etterforskning viste at trusselgruppens aktivitet kan være mer omfattende enn tidligere antatt, sier Rob Ames, stabsforsker ved SecurityScorecard.

For eksempel ser det ut til at Volt Typhoon har vært ansvarlig for å kompromittere så mye som 30 % – eller 325 av 1,116 320 – av utgåtte Cisco RV325/2-rutere som SecurityScorecard observerte på C37-botnettet over en 1-dagers periode. Sikkerhetsleverandørens forskere observerte regelmessige forbindelser mellom de kompromitterte Cisco-enhetene og kjent Volt Typhoon-infrastruktur mellom 2023. desember 7 og 2024. januar XNUMX, noe som tyder på en veldig aktiv operasjon.

SecurityScorecards graving viste også at Volt Typhoon distribuerte "fy.sh", et hittil ukjent web-skall på Cisco-ruterne og andre nettverkskantenheter som gruppen for øyeblikket sikter mot. I tillegg var SecurityScorecard i stand til å identifisere flere nye IP-adresser som så ut til å være knyttet til Volt Typhoon-aktivitet.

"SecurityScorecard brukte tidligere sirkulerte IoC-er knyttet til Volt Typhoon for å identifisere de nylig kompromitterte enhetene vi observerte, det tidligere uspesifiserte webshell (fy.sh) og de andre IP-adressene som kan representere nye IoC-er," sier Ames.

Living-off-the-Land Cyber-angrep

Volt tyfon er en trusselgruppe som US Cybersecurity and Infrastructure Agency (CISA) har identifisert som en statsstøttet kinesisk trusselaktør rettet mot amerikanske kritiske infrastruktursektorer. Microsoft, den første som rapporterte om gruppen tilbake i mai 2023, har beskrevet den som aktiv siden minst mai 2021, med base i Kina og drevet storskala cyberspionasje ved å bruke en rekke leve-off-the-land-teknikker. Selskapet har vurdert gruppen til å utvikle evner til å forstyrre kritiske kommunikasjonsevner mellom USA og Asia under potensielle fremtidige konflikter.

Ames sier at Volt Typhoons bruk av kompromitterte rutere for dataoverføring er en indikasjon på gruppens engasjement for sniking.

"Gruppen ruter ofte trafikken gjennom disse enhetene for å unngå geografisk basert deteksjon når de retter seg mot organisasjoner i samme område som de kompromitterte ruterne," sier han. "Disse organisasjonene kan ha mindre sannsynlighet for å legge merke til ondsinnet aktivitet hvis trafikken som er involvert ser ut til å stamme fra området der organisasjonen er basert."

Cyber-målretting av sårbart utstyr ved slutten av livet

Volt Typhoons målretting av utgåtte enheter gir også mye mening fra angriperens perspektiv, sier Ames. Det er rundt 35 kjente kritiske sårbarheter med en alvorlighetsgrad på minst 9 av 10 på CVSS-skalaen – inkludert to i CISAs katalog over kjente utnyttede sårbarheter – knyttet til Cisco RV320-ruterne som Volt Typhoon har vært rettet mot. Cisco sluttet å utstede eventuelle feilrettinger, vedlikeholdsutgivelser og reparasjoner for teknologien for tre år siden, i januar 2021. I tillegg til Cisco-enhetene inkluderer det Volt Typhoon-tilknyttede botnettet også kompromitterte eldre DrayTek Vigor- og Netgear ProSafe-rutere.

"Fra perspektivet til enhetene selv, er de lavthengende frukt," sier Ames. "Siden "end-of-life" betyr at produsentene av enhetene ikke lenger vil utstede oppdateringer for dem, vil sårbarheter som påvirker dem sannsynligvis forsvinne, noe som gjør enhetene utsatt for kompromittering."

Callie Guenther, seniorleder for cybertrusselforskning ved Critical Start, sier Volt Typhoons strategiske målretting av sluttede Cisco-rutere, utviklingen av tilpassede verktøy som fy.sh og geografisk og sektoriell målretting antyder en svært sofistikert operasjon.

"Å fokusere på eldre systemer er ikke en vanlig taktikk blant trusselaktører, først og fremst fordi det krever spesifikk kunnskap om eldre systemer og deres sårbarheter, som kanskje ikke er allment kjent eller dokumentert," sier Guenther. "Men det er en økende trend, spesielt blant statsstøttede aktører som har ressurser og motivasjon til å gjennomføre omfattende rekognosering og utvikle skreddersydde bedrifter."

Som eksempler peker hun på flere trusselaktører som retter seg mot den såkalte Ripple20-sårbarheter i en TCP/IP-stabel som påvirket millioner av eldre IoT-enheter, samt kinesiske og iranske trusselgrupper som målrettet mot feil i eldre VPN-produkter.

Tidstempel:

Mer fra Mørk lesning