Wspierana przez Chiny grupa cyberszpiegowska Volt Typhoon systematycznie atakuje starsze urządzenia Cisco w ramach wyrafinowanej i ukrytej kampanii mającej na celu rozwój infrastruktury ataków.
W wielu przypadkach ugrupowanie zagrażające znane z atakowania infrastruktury krytycznej wykorzystuje kilka luk w routerach z 2019 r., aby włamać się do docelowych urządzeń i przejąć nad nimi kontrolę.
Ukierunkowane na sektory infrastruktury krytycznej w USA
Badacze z zespołu ds. analizy zagrożeń SecurityScorecard zauważyli tę aktywność podczas dalszych dochodzeń w sprawie najnowszych dostawców i doniesienia mediów o włamaniu się Volta Typhoona do organizacji zajmujących się infrastrukturą krytyczną w USA i przygotowaniu gruntu pod potencjalne przyszłe zakłócenia. Ataki wymierzone są w przedsiębiorstwa wodociągowe, dostawców energii, systemy transportowe i komunikacyjne. Ofiarami tej grupy były organizacje ze Stanów Zjednoczonych, Wielkiej Brytanii i Australii.
Jeden z raportów dostawców z Lumen, opisał botnet składający się z routery do małych biur/biur domowych (SOHO). którą Volt Typhoon — i inne chińskie grupy zagrożeń — wykorzystuje jako sieć dowodzenia i kontroli (C2) w atakach na sieci o dużej wartości. Sieć, którą Lumen opisał w raporcie, składa się głównie z wycofanych z eksploatacji routerów firm Cisco, DrayTek i, w mniejszym stopniu, Netgear.
Badacze z SecurityScorecard wykorzystali wskaźniki kompromisu (IoC) opublikowane przez firmę Lumen w swoim raporcie, aby sprawdzić, czy uda im się zidentyfikować nową infrastrukturę powiązaną z kampanią Volt Typhoon. The śledztwo pokazało, że działalność grupy zajmującej się zagrożeniami może być szersza, niż wcześniej sądzono, mówi Rob Ames, badacz zagrożeń w SecurityScorecard.
Na przykład wydaje się, że Volt Typhoon był odpowiedzialny za złamanie zabezpieczeń aż 30% — czyli 325 z 1,116 — wycofanych z eksploatacji routerów Cisco RV320/325, które firma SecurityScorecard zaobserwowała w botnecie C2 w ciągu 37 dni. Badacze dostawcy zabezpieczeń zaobserwowali regularne połączenia między zaatakowanymi urządzeniami Cisco a znaną infrastrukturą Volt Typhoon między 1 grudnia 2023 r. a 7 stycznia 2024 r., co sugeruje bardzo aktywną operację.
Analiza SecurityScorecard wykazała również, że Volt Typhoon wdraża „fy.sh”, nieznaną dotychczas powłokę internetową na routerach Cisco i innych urządzeniach brzegowych sieci, na które obecnie celuje grupa. Ponadto narzędzie SecurityScorecard było w stanie zidentyfikować wiele nowych adresów IP, które okazały się powiązane z aktywnością Volt Typhoon.
„SecurityScorecard wykorzystał wcześniej rozpowszechnione IoC powiązane z Volt Typhoon w celu zidentyfikowania nowo zaobserwowanych przez nas urządzeń, które zostały zainfekowane, wcześniej nieokreślonej powłoki internetowej (fy.sh) i innych adresów IP, które mogą reprezentować nowe IoC” – mówi Ames.
Cyberataki żyjące poza ziemią
Volt Tajfun jest grupą zagrożeń, którą Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) zidentyfikował jako sponsorowany przez państwo chiński ugrupowanie zagrażające, którego celem są sektory infrastruktury krytycznej w USA. Microsoft, który jako pierwszy złożył raport na temat tej grupy w maju 2023 r., określił ją jako aktywną co najmniej od maja 2021 r., mającą siedzibę w Chinach i prowadzącą cyberszpiegostwo na dużą skalę z wykorzystaniem szeregu technik pozwalających na życie poza lądem. Firma oceniła, że grupa rozwija zdolności zakłócające krytyczne możliwości komunikacyjne między Stanami Zjednoczonymi a Azją podczas potencjalnych przyszłych konfliktów.
Ames twierdzi, że wykorzystywanie przez Volt Typhoon skompromitowanych routerów do przesyłania danych jest jednym ze wskaźników zaangażowania grupy w ukrywanie się.
„Grupa często kieruje swój ruch przez te urządzenia, aby uniknąć wykrycia na podstawie geograficznej, gdy atakuje organizacje znajdujące się w tym samym obszarze, co zaatakowane routery” – mówi. „Jest mniej prawdopodobne, że te organizacje zauważą złośliwą aktywność, jeśli wydaje się, że związany z nią ruch pochodzi z obszaru, w którym ma siedzibę organizacja”.
Cyberatakowanie podatnego na zagrożenia sprzętu wycofanego z eksploatacji
Ames twierdzi, że celowanie przez Volt Typhoon w urządzenia wycofane z eksploatacji ma również duży sens z punktu widzenia atakującego. Istnieje około 35 znanych krytycznych luk w zabezpieczeniach o ocenie ważności co najmniej 9 na 10 w skali CVSS – w tym dwie w katalogu znanych luk w zabezpieczeniach CISA – związanych z routerami Cisco RV320, które były celem Volt Typhoon. Cisco zaprzestało wydawania jakichkolwiek poprawek błędów, wydań konserwacyjnych i napraw tej technologii trzy lata temu, w styczniu 2021 r. Oprócz urządzeń Cisco botnet połączony z Volt Typhoon obejmuje także starsze, starsze routery DrayTek Vigor i Netgear ProSafe.
„Z punktu widzenia samych urządzeń są to drobnostki” – mówi Ames. „Ponieważ „koniec życia” oznacza, że producenci urządzeń nie będą już wydawać dla nich aktualizacji, luki w zabezpieczeniach, które na nie wpływają, prawdopodobnie pozostaną nieusunięte, przez co urządzenia będą podatne na zagrożenia”.
Callie Guenther, starsza menedżerka ds. badań nad zagrożeniami cybernetycznymi w firmie Critical Start, twierdzi, że strategiczne ukierunkowanie firmy Volt Typhoon na wycofane z eksploatacji routery Cisco, rozwój niestandardowych narzędzi, takich jak fy.sh, oraz kierowanie geograficzne i sektorowe sugerują wysoce wyrafinowaną operację.
„Koncentrowanie się na starszych systemach nie jest powszechną taktyką wśród cyberprzestępców, przede wszystkim dlatego, że wymaga konkretnej wiedzy na temat starszych systemów i ich luk w zabezpieczeniach, która może nie być powszechnie znana lub udokumentowana” – mówi Guenther. „Jest to jednak tendencja rosnąca, zwłaszcza wśród podmiotów sponsorowanych przez państwo, które mają zasoby i motywację do prowadzenia szeroko zakrojonego rozpoznania i opracowywania dostosowanych do indywidualnych potrzeb exploitów”.
Jako przykłady wskazuje wielu aktorów zagrożeń, których celem jest tzw Luki Ripple20 w stosie TCP/IP, który dotknął miliony starszych urządzeń IoT, a także chińskie i irańskie grupy zagrożeń, których celem były wady starszych produktów VPN.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- :ma
- :Jest
- :nie
- $W GÓRĘ
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35%
- 7
- 9
- a
- Zdolny
- O nas
- aktywny
- działalność
- aktorzy
- dodatek
- Adresy
- afektowany
- wpływający
- przed
- agencja
- temu
- również
- wśród
- i
- i infrastruktura
- każdy
- pojawił się
- pojawia się
- SĄ
- POWIERZCHNIA
- AS
- Azja
- oceniać
- powiązany
- At
- atakować
- Ataki
- Australia
- uniknąć
- z powrotem
- na podstawie
- BE
- bo
- być
- jest
- pomiędzy
- Botnet
- przerwa
- Przełamując
- Bug
- Kampania
- możliwości
- katalog
- Chiny
- chiński
- Cisco
- zobowiązanie
- wspólny
- Komunikacja
- systemy łączności
- sukcesy firma
- Składa się
- kompromis
- Zagrożone
- kompromis
- Prowadzenie
- prowadzenia
- konflikty
- połączenia
- składa się
- kontrola
- mógłby
- Para
- krytyczny
- Infrastruktura krytyczna
- Obecnie
- zwyczaj
- cyber
- Bezpieczeństwo cybernetyczne
- dane
- grudzień
- wdrażanie
- opisane
- Wykrywanie
- rozwijać
- rozwijanie
- oprogramowania
- urządzenia
- Zakłócać
- zakłócenia
- robi
- podczas
- krawędź
- szczególnie
- szpiegostwo
- przykład
- przykłady
- eksploatowany
- wykorzystywanie
- exploity
- rozległy
- stopień
- i terminów, a
- poprawki
- Skazy
- skupienie
- W razie zamówieenia projektu
- od
- przyszłość
- FY
- geograficzny
- geograficznie
- Go
- Ziemia
- Zarządzanie
- Grupy
- Rosnąć
- Rozwój
- Have
- he
- wysoko
- Jednak
- HTTPS
- zidentyfikowane
- zidentyfikować
- if
- in
- włączony
- obejmuje
- Włącznie z
- wskazanie
- wskaźniki
- Infrastruktura
- Inteligencja
- najnowszych
- Dochodzenia
- zaangażowany
- Internet przedmiotów
- urządzenia iot
- IP
- Adresy IP
- irański
- problem
- wydawanie
- IT
- JEGO
- Styczeń
- styczeń
- Styczeń 2021
- jpg
- wiedza
- znany
- na dużą skalę
- nośny
- najmniej
- pozostawiając
- Dziedzictwo
- mniej
- lubić
- Prawdopodobnie
- powiązany
- dłużej
- Partia
- Lumen
- głównie
- konserwacja
- WYKONUJE
- złośliwy
- kierownik
- wiele
- Może..
- znaczy
- Microsoft
- może
- miliony
- jeszcze
- Motywacja
- dużo
- wielokrotność
- sieć
- sieci
- Nowości
- nowo
- Nie
- Zauważyć..
- of
- Biurowe
- często
- starszych
- on
- ONE
- działanie
- or
- zamówienie
- organizacja
- organizacji
- Inne
- na zewnątrz
- koniec
- okres
- perspektywa
- plato
- Analiza danych Platona
- PlatoDane
- zwrotnica
- potencjał
- power
- poprzednio
- głównie
- Producenci
- Produkty
- Rampy
- ocena
- niedawny
- regularny
- wydany
- prasowe
- raport
- Raporty
- reprezentować
- Wymaga
- Badania naukowe
- badacz
- Badacze
- Zasoby
- odpowiedzialny
- rabować
- trasy
- s
- taki sam
- mówią
- Skala
- sektorowy
- Sektory
- bezpieczeństwo
- widzieć
- senior
- rozsądek
- ona
- Powłoka
- pokazał
- ponieważ
- mniejszy
- kilka
- wyrafinowany
- specyficzny
- stos
- Personel
- początek
- Stealth
- potajemny
- zatrzymany
- Strategiczny
- sugerować
- dostawcy
- wrażliwy
- systemy
- dostosowane
- Brać
- cel
- ukierunkowane
- kierowania
- Tcp/IP
- zespół
- Techniki
- Technologia
- niż
- że
- Połączenia
- Strefa
- ich
- Im
- sami
- Tam.
- Te
- one
- myśl
- groźba
- podmioty grożące
- trzy
- Przez
- do
- narzędzia
- ruch drogowy
- transfery
- transport
- Trend
- drugiej
- Uk
- nieznany
- Nowości
- us
- posługiwać się
- używany
- za pomocą
- Użytkowe
- sprzedawca
- początku.
- Ofiary
- Wolt
- VPN
- Luki w zabezpieczeniach
- Wrażliwy
- była
- Uzdatnianie wody
- we
- sieć
- DOBRZE
- jeśli chodzi o komunikację i motywację
- który
- KIM
- szeroko
- będzie
- w
- lat
- zefirnet
