Volt Typhoon krepi zlonamerno dejavnost proti kritični infrastrukturi

Volt Typhoon krepi zlonamerno dejavnost proti kritični infrastrukturi

Časovni žig: 11. januar 2024 5:49
Volt Typhoon Ramps Up Malicious Activity Against Critical Infrastructure PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Skupina za kibernetsko vohunjenje Volt Typhoon, ki jo podpira Kitajska, sistematično cilja na podedovane naprave Cisco v prefinjeni in prikriti kampanji za povečanje svoje napadalne infrastrukture.

V mnogih primerih akter grožnje, znan po ciljanju na kritično infrastrukturo, izkorišča nekaj ranljivosti iz leta 2019 v usmerjevalnikih, da vdre v ciljne naprave in prevzame nadzor nad njimi.

Ciljanje na sektorje kritične infrastrukture ZDA

Raziskovalci iz skupine SecurityScorecard za obveščanje o grožnjah so opazili dejavnost, ko so opravljali nekaj nadaljnjih preiskav nedavnega prodajalca in medijska poročila o tem, da je Volt Typhoon vdrl v kritične infrastrukturne organizacije ZDA in postavil temelj za morebitne prihodnje motnje. Napadi so bili usmerjeni na vodovodna podjetja, dobavitelje električne energije, transportne in komunikacijske sisteme. Med žrtvami skupine so organizacije v ZDA, Veliki Britaniji in Avstraliji.

Eden od prodajalcev poroča, od Lumen, je opisal botnet, sestavljen iz usmerjevalniki za male pisarne/domače pisarne (SOHO). ki ga Volt Typhoon — in druge kitajske skupine groženj — uporabljajo kot omrežje za poveljevanje in nadzor (C2) pri napadih na omrežja visoke vrednosti. Omrežje, ki ga je Lumen opisal v poročilu, je sestavljeno predvsem iz odsluženih usmerjevalnikov Cisco, DrayTek in v manjšem obsegu Netgear.

Raziskovalci SecurityScorecard so uporabili indikatorje ogroženosti (IoC), ki jih je Lumen objavil v svojem poročilu, da bi ugotovili, ali lahko identificirajo novo infrastrukturo, povezano s kampanjo Volt Typhoon. The preiskava pokazala, da je dejavnost groženjske skupine morda obsežnejša, kot se je prej mislilo, pravi Rob Ames, raziskovalec groženj pri SecurityScorecard.

Zdi se, na primer, da je bil Volt Typhoon odgovoren za ogrožanje kar 30 % — ali 325 od 1,116 — usmerjevalnikov Cisco RV320/325 ob koncu življenjske dobe, ki jih je SecurityScorecard opazil na botnetu C2 v 37-dnevnem obdobju. Raziskovalci prodajalca varnosti so opazili redne povezave med ogroženimi napravami Cisco in znano infrastrukturo Volt Typhoon med 1. decembrom 2023 in 7. januarjem 2024, kar kaže na zelo aktivno delovanje.

Kopanje SecurityScorecarda je tudi pokazalo, da Volt Typhoon namešča »fy.sh«, doslej neznano spletno lupino na usmerjevalnikih Cisco in drugih robnih napravah omrežja, ki jih skupina trenutno cilja. Poleg tega je SecurityScorecard lahko prepoznal več novih naslovov IP, ki so bili videti povezani z dejavnostjo Volt Typhoon.

»SecurityScorecard je uporabil predhodno razširjene IoC-je, povezane z Volt Typhoon, za identifikacijo na novo ogroženih naprav, ki smo jih opazili, prej nedoločeno spletno lupino (fy.sh) in druge naslove IP, ki lahko predstavljajo nove IoC-je,« pravi Ames.

Kibernetski napadi, ki živijo zunaj zemlje

Volt Tajfun je groženjska skupina, ki Agencija ZDA za kibernetsko varnost in infrastrukturo (CISA) identificiral kot državno sponzoriranega kitajskega akterja grožnje, ki cilja na kritične infrastrukturne sektorje ZDA. Microsoft, prvi, ki je maja 2023 poročal o skupini, jo je opisal kot dejavno vsaj od maja 2021, s sedežem na Kitajskem in izvaja obsežno kibernetsko vohunjenje z uporabo množice tehnik življenja zunaj zemlje. Družba je ocenila, da skupina razvija zmogljivosti za motenje kritičnih komunikacijskih zmogljivosti med ZDA in Azijo med morebitnimi prihodnjimi konflikti.

Ames pravi, da je uporaba ogroženih usmerjevalnikov za prenos podatkov s strani Volt Typhoon eden od pokazateljev zavezanosti skupine k prikritosti.

»Skupina pogosto usmerja svoj promet prek teh naprav, da bi se izognila geografskemu odkrivanju, ko cilja na organizacije na istem območju kot ogroženi usmerjevalniki,« pravi. "Manj verjetno je, da bodo te organizacije opazile zlonamerno dejavnost, če se zdi, da zadevni promet izvira z območja, kjer ima organizacija sedež."

Kibernetsko ciljanje na ranljivo odsluženo opremo

Ciljanje Volta Typhoona na odslužene naprave je zelo smiselno tudi z vidika napadalca, pravi Ames. Obstaja približno 35 znanih kritičnih ranljivosti z oceno resnosti vsaj 9 od 10 na lestvici CVSS – vključno z dvema v katalogu znanih izkoriščenih ranljivosti CISA – povezanih z usmerjevalniki Cisco RV320, na katere cilja Volt Typhoon. Cisco je pred tremi leti, januarja 2021, prenehal izdajati kakršne koli popravke napak, vzdrževalne izdaje in popravila za tehnologijo. Poleg naprav Cisco botnet, povezan z Volt Typhoon, vključuje tudi ogrožena podedovana usmerjevalnika DrayTek Vigor in Netgear ProSafe.

»Z vidika naprav samih so le-te nizko sadje,« pravi Ames. "Ker" konec življenjske dobe "pomeni, da proizvajalci naprav ne bodo več izdajali posodobitev zanje, ranljivosti, ki jih prizadenejo, verjetno ne bodo obravnavane, zaradi česar bodo naprave dovzetne za ogrožanje."

Callie Guenther, višja vodja raziskav kibernetskih groženj pri Critical Start, pravi, da strateško ciljanje Volta Typhoona na odslužene usmerjevalnike Cisco, njegov razvoj orodij po meri, kot je fy.sh, ter njegovo geografsko in sektorsko ciljanje kažejo na zelo prefinjeno operacijo.

»Osredotočanje na podedovane sisteme ni pogosta taktika med akterji groženj, predvsem zato, ker zahteva specifično znanje o starejših sistemih in njihovih ranljivostih, ki morda niso splošno znane ali dokumentirane,« pravi Guenther. "Vendar je to naraščajoči trend, zlasti med akterji, ki jih sponzorira država in imajo sredstva in motivacijo za izvajanje obsežnega izvidovanja in razvoj prilagojenih podvigov."

Kot primere navaja številne akterje groženj, ki ciljajo na t.i Ranljivosti Ripple20 v skladu TCP/IP, ki je prizadel milijone podedovanih naprav interneta stvari, pa tudi kitajske in iranske skupine groženj, ki ciljajo na pomanjkljivosti v starejših izdelkih VPN.

Časovni žig:

Več od Temno branje