O grupo de espionagem cibernética apoiado pela China, Volt Typhoon, está sistematicamente visando dispositivos legados da Cisco em uma campanha sofisticada e furtiva para aumentar sua infraestrutura de ataque.
Em muitos casos, o agente da ameaça, conhecido por visar infraestruturas críticas, está a explorar algumas vulnerabilidades de 2019 em routers, para invadir dispositivos alvo e assumir o controlo dos mesmos.
Visando setores de infraestrutura crítica dos EUA
Pesquisadores da equipe de inteligência de ameaças da SecurityScorecard detectaram a atividade ao fazer algumas investigações de acompanhamento sobre fornecedores recentes e relatos da mídia sobre o Volt Typhoon invadindo organizações de infraestrutura crítica dos EUA e preparando o terreno para possíveis interrupções futuras. Os ataques tiveram como alvo empresas de abastecimento de água, fornecedores de energia, sistemas de transporte e comunicações. As vítimas do grupo incluíram organizações nos EUA, Reino Unido e Austrália.
Um dos relatórios do fornecedor, de Lúmen, descreveu uma botnet composta por roteadores para pequenos escritórios/escritórios domésticos (SOHO) que o Volt Typhoon – e outros grupos de ameaças chineses – está usando como rede de comando e controle (C2) em ataques contra redes de alto valor. A rede que Lumen descreveu no relatório consiste principalmente em roteadores em fim de vida útil da Cisco, DrayTek e, em menor medida, da Netgear.
Os pesquisadores do SecurityScorecard usaram os indicadores de comprometimento (IoCs) que a Lumen divulgou com seu relatório para ver se conseguiam identificar uma nova infraestrutura associada à campanha do Volt Typhoon. O investigação mostrou que a atividade do grupo de ameaças pode ser mais extensa do que se pensava anteriormente, diz Rob Ames, pesquisador de ameaças da SecurityScorecard.
Por exemplo, o Volt Typhoon parece ter sido responsável por comprometer até 30% – ou 325 de 1,116 – dos roteadores Cisco RV320/325 em fim de vida que o SecurityScorecard observou na botnet C2 durante um período de 37 dias. Os pesquisadores do fornecedor de segurança observaram conexões regulares entre os dispositivos Cisco comprometidos e a infraestrutura conhecida do Volt Typhoon entre 1º de dezembro de 2023 e 7 de janeiro de 2024, sugerindo uma operação muito ativa.
A pesquisa do SecurityScorecard também mostrou o Volt Typhoon implantando o “fy.sh”, um shell da Web até então desconhecido nos roteadores Cisco e outros dispositivos de borda de rede que o grupo está atualmente almejando. Além disso, o SecurityScorecard foi capaz de identificar vários novos endereços IP que pareciam vinculados à atividade do Volt Typhoon.
“O SecurityScorecard usou IoCs circulados anteriormente vinculados ao Volt Typhoon para identificar os dispositivos recentemente comprometidos que observamos, o webshell anteriormente não especificado (fy.sh) e os outros endereços IP que podem representar novos IoCs”, diz Ames.
Ataques cibernéticos vivendo fora da terra
volt tufão é um grupo de ameaça que o Agência de Infraestrutura e Cibersegurança dos EUA (CISA) identificou como um ator de ameaça chinês patrocinado pelo Estado que visa setores de infraestrutura crítica dos EUA. Microsoft, o primeiro a reportar sobre o grupo em maio de 2023, descreveu-o como estando ativo pelo menos desde maio de 2021, estando baseado na China e conduzindo espionagem cibernética em grande escala utilizando uma série de técnicas de vida fora da terra. A empresa avaliou o grupo como desenvolvendo capacidades para interromper capacidades críticas de comunicação entre os EUA e a Ásia durante potenciais conflitos futuros.
Ames diz que o uso de roteadores comprometidos pelo Volt Typhoon para transferência de dados é uma indicação do compromisso do grupo com a furtividade.
“O grupo frequentemente roteia seu tráfego através desses dispositivos para evitar a detecção com base geográfica ao atingir organizações na mesma área dos roteadores comprometidos”, diz ele. “É menos provável que essas organizações percebam atividades maliciosas se o tráfego envolvido parecer originar-se da área em que a organização está sediada.”
Ciberataqueamento de equipamentos vulneráveis em fim de vida
O direcionamento do Volt Typhoon para dispositivos em fim de vida também faz muito sentido do ponto de vista do invasor, diz Ames. Existem cerca de 35 vulnerabilidades críticas conhecidas com uma classificação de gravidade de pelo menos 9 em 10 na escala CVSS – incluindo duas no catálogo de vulnerabilidades exploradas conhecidas da CISA – associadas aos roteadores Cisco RV320 que o Volt Typhoon tem como alvo. A Cisco parou de emitir quaisquer correções de bugs, lançamentos de manutenção e reparos para a tecnologia há três anos, em janeiro de 2021. Além dos dispositivos Cisco, o botnet vinculado ao Volt Typhoon também inclui roteadores legados comprometidos DrayTek Vigor e Netgear ProSafe.
“Do ponto de vista dos próprios dispositivos, eles são frutos fáceis de alcançar”, diz Ames. “Como o ‘fim da vida útil’ significa que os fabricantes dos dispositivos não emitirão mais atualizações para eles, as vulnerabilidades que os afetam provavelmente não serão resolvidas, deixando os dispositivos suscetíveis a comprometimento.”
Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, diz que o direcionamento estratégico do Volt Typhoon para roteadores Cisco em fim de vida, o desenvolvimento de ferramentas personalizadas como fy.sh e seu direcionamento geográfico e setorial sugerem uma operação altamente sofisticada.
“Focar em sistemas legados não é uma tática comum entre os agentes de ameaças, principalmente porque requer conhecimento específico sobre sistemas mais antigos e suas vulnerabilidades, que podem não ser amplamente conhecidos ou documentados”, diz Guenther. “No entanto, é uma tendência crescente, especialmente entre os intervenientes patrocinados pelo Estado que têm os recursos e a motivação para realizar reconhecimentos extensivos e desenvolver explorações personalizadas.”
Como exemplos, ela aponta vários atores de ameaças que visam os chamados Vulnerabilidades Ripple20 em uma pilha TCP/IP que afetou milhões de dispositivos IoT legados, bem como grupos de ameaças chineses e iranianos que visavam falhas em produtos VPN mais antigos.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- :tem
- :é
- :não
- $UP
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35%
- 7
- 9
- a
- Capaz
- Sobre
- ativo
- atividade
- atores
- Adição
- endereços
- afetado
- afetando
- contra
- agência
- atrás
- tb
- entre
- e
- e infra-estrutura
- qualquer
- apareceu
- aparece
- SOMOS
- ÁREA
- AS
- Ásia
- avaliado
- associado
- At
- ataque
- Ataques
- Australia
- evitar
- em caminho duplo
- baseado
- BE
- Porque
- sido
- ser
- entre
- Botnet
- Break
- Quebra
- Bug
- Campanha
- capacidades
- catálogo
- China
- chinês
- Cisco
- compromisso
- comum
- Comunicações
- sistemas de comunicação
- Empresa
- Composto
- compromisso
- Comprometido
- comprometendo
- Conduzir
- condutor
- conflitos
- Coneções
- consiste
- ao controle
- poderia
- Casal
- crítico
- Infraestrutura crítica
- Atualmente
- personalizadas
- cibernético
- Cíber segurança
- dados,
- dezembro
- Implantação
- descrito
- Detecção
- desenvolver
- em desenvolvimento
- Desenvolvimento
- Dispositivos/Instrumentos
- perturbe
- interrupções
- fazer
- durante
- borda
- especialmente
- espionagem
- exemplo
- exemplos
- exploradas
- explorando
- façanhas
- extenso
- extensão
- Primeiro nome
- fixo
- falhas
- focando
- Escolha
- da
- futuro
- FY
- geográfico
- geograficamente
- Go
- Solo
- Grupo
- Do grupo
- Cresça:
- Crescente
- Ter
- he
- altamente
- Contudo
- HTTPS
- identificado
- identificar
- if
- in
- incluído
- inclui
- Incluindo
- indicação
- indicadores
- Infraestrutura
- Inteligência
- para dentro
- investigações
- envolvido
- iot
- dispositivos muito
- IP
- Endereços IP
- iraniano
- emitem
- Emissão
- IT
- ESTÁ
- Jan
- janeiro
- Janeiro 2021
- jpg
- Conhecimento
- conhecido
- em grande escala
- deitado
- mínimo
- partida
- Legado
- menos
- como
- Provável
- ligado
- mais
- lote
- Lúmen
- principalmente
- manutenção
- FAZ
- malicioso
- Gerente
- muitos
- Posso..
- significa
- Microsoft
- poder
- milhões
- mais
- Motivação
- muito
- múltiplo
- rede
- redes
- Novo
- recentemente
- não
- Perceber..
- of
- Office
- frequentemente
- mais velho
- on
- ONE
- operação
- or
- ordem
- organização
- organizações
- Outros
- Fora
- Acima de
- significativo
- perspectiva
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- potencial
- poder
- anteriormente
- principalmente
- Produtores
- Produtos
- Rampas
- classificação
- recentemente
- regular
- liberado
- Releases
- Denunciar
- Relatórios
- representar
- exige
- pesquisa
- investigador
- pesquisadores
- Recursos
- responsável
- roubar
- rotas
- s
- mesmo
- diz
- Escala
- setorial
- Setores
- segurança
- Vejo
- senior
- sentido
- ela
- concha
- mostrou
- desde
- menor
- alguns
- sofisticado
- específico
- pilha
- Staff
- começo
- Stealth
- furtivo
- parou
- Estratégico
- sugerir
- fornecedores
- suscetível
- sistemas
- adaptados
- Tire
- Target
- visadas
- alvejando
- TCP / IP
- Profissionais
- técnicas
- Tecnologia
- do que
- que
- A
- A área
- deles
- Eles
- si mesmos
- Lá.
- Este
- deles
- pensamento
- ameaça
- atores de ameaças
- três
- Através da
- para
- ferramentas
- tráfego
- fáceis
- transporte
- Trend
- dois
- Uk
- desconhecido
- Atualizações
- us
- usar
- usava
- utilização
- utilitários
- fornecedor
- muito
- vítimas
- Volt
- VPN
- vulnerabilidades
- Vulnerável
- foi
- Água
- we
- web
- BEM
- quando
- qual
- QUEM
- largamente
- precisarão
- de
- anos
- zefirnet
