Volttyfon ökar skadlig aktivitet mot kritisk infrastruktur

Volttyfon ökar skadlig aktivitet mot kritisk infrastruktur

Tidsstämpel: 11 januari 2024 5:49
Volttyfon ökar skadlig aktivitet mot kritisk infrastruktur PlatoBlockchain-dataintelligens. Vertikal sökning. Ai.

Den Kina-stödda cyberspionagegruppen Volt Typhoon riktar sig systematiskt mot äldre Cisco-enheter i en sofistikerad och smygkampanj för att utöka sin attackinfrastruktur.

I många fall utnyttjar hotaktören, känd för att rikta in sig på kritisk infrastruktur, ett par sårbarheter från 2019 i routrar, för att bryta sig in i målenheter och ta kontroll över dem.

Inriktning på amerikanska kritiska infrastruktursektorer

Forskare från SecurityScorecards team för hotintelligens upptäckte aktiviteten när de gjorde några uppföljande undersökningar av den senaste leverantören och medierapporter om Volt Typhoon som bryter sig in i amerikanska kritiska infrastrukturorganisationer och lägger grunden för potentiella framtida störningar. Attackerna har riktats mot vattenverk, kraftleverantörer, transport- och kommunikationssystem. Gruppens offer har inkluderat organisationer i USA, Storbritannien och Australien.

En av säljarna rapporterar, från Lumen, beskrev ett botnät som består av routrar för små kontor/hemmakontor (SOHO). som Volt Typhoon – och andra kinesiska hotgrupper – använder som ett kommando-och-kontroll-nätverk (C2) i attacker mot högvärdiga nätverk. Nätverket som Lumen beskrev i rapporten består huvudsakligen av uttjänta routrar från Cisco, DrayTek och, i mindre utsträckning, Netgear.

SecurityScorecard-forskare använde indikatorerna för kompromiss (IoCs) som Lumen släppte med sin rapport för att se om de kunde identifiera ny infrastruktur associerad med Volt Typhoons kampanj. De Undersökningen visade att hotgruppens aktivitet kan vara mer omfattande än man tidigare trott, säger Rob Ames, personalhotforskare på SecurityScorecard.

Till exempel verkar Volt Typhoon ha varit ansvarig för att äventyra så mycket som 30 % – eller 325 av 1,116 320 – av Cisco RV325/2-routrar som SecurityScorecard observerade på C37-botnätet under en 1-dagarsperiod. Säkerhetsleverantörens forskare observerade regelbundna kopplingar mellan de komprometterade Cisco-enheterna och den kända Volt Typhoon-infrastrukturen mellan 2023 december 7 och 2024 januari XNUMX, vilket tyder på en mycket aktiv operation.

SecurityScorecards grävning visade också att Volt Typhoon distribuerade "fy.sh", ett hittills okänt webbskal på Cisco-routrarna och andra nätverksenheter som gruppen för närvarande riktar sig till. Dessutom kunde SecurityScorecard identifiera flera nya IP-adresser som verkade kopplade till Volt Typhoon-aktivitet.

"SecurityScorecard använde tidigare cirkulerade IoCs länkade till Volt Typhoon för att identifiera de nyligen komprometterade enheterna vi observerade, det tidigare ospecificerade webshell (fy.sh) och de andra IP-adresserna som kan representera nya IoCs," säger Ames.

Living-off-the-Land Cyberattacker

Volt Typhoon är en hotgrupp som US Cybersecurity and Infrastructure Agency (CISA) har identifierats som en statligt sponsrad kinesisk hotaktör som riktar sig mot amerikanska kritiska infrastruktursektorer. Microsoft, den första som rapporterade om gruppen redan i maj 2023, har beskrivit den som aktiv sedan åtminstone maj 2021, baserad i Kina och bedriver storskaligt cyberspionage med hjälp av en mängd metoder för att leva utanför landet. Företaget har bedömt att gruppen utvecklar kapacitet för att störa kritiska kommunikationsförmåga mellan USA och Asien under potentiella framtida konflikter.

Ames säger att Volt Typhoons användning av komprometterade routrar för dataöverföring är en indikation på gruppens engagemang för smygande.

"Gruppen dirigerar ofta sin trafik genom dessa enheter för att undvika geografiskt baserad upptäckt när de riktar sig mot organisationer i samma område som de utsatta routrarna", säger han. "Dessa organisationer kan vara mindre benägna att märka skadlig aktivitet om den inblandade trafiken verkar komma från det område där organisationen är baserad."

Cyber-inriktning av sårbara redskap i slutet av livet

Volt Typhoons inriktning på uttjänta enheter är också mycket vettigt ur angriparens perspektiv, säger Ames. Det finns cirka 35 kända kritiska sårbarheter med en allvarlighetsgrad på minst 9 av 10 på CVSS-skalan – inklusive två i CISA:s katalog över kända exploaterade sårbarheter – förknippade med Cisco RV320-routrarna som Volt Typhoon har riktat in sig på. Cisco slutade utfärda buggfixar, underhållsutgåvor och reparationer för tekniken för tre år sedan, i januari 2021. Förutom Cisco-enheterna inkluderar det Volt Typhoon-länkade botnätet även komprometterade äldre DrayTek Vigor- och Netgear ProSafe-routrar.

"Från själva enheternas perspektiv är de lågt hängande frukter", säger Ames. "Eftersom "slutet på livet" betyder att tillverkarna av enheterna inte längre kommer att utfärda uppdateringar för dem, kommer sårbarheter som påverkar dem sannolikt att försvinna, vilket gör att enheterna blir känsliga för kompromisser."

Callie Guenther, senior manager för cyberhotsforskning på Critical Start, säger att Volt Typhoons strategiska inriktning på uttjänta Cisco-routrar, dess utveckling av anpassade verktyg som fy.sh och dess geografiska och sektoriella inriktning tyder på en mycket sofistikerad operation.

"Att fokusera på äldre system är inte en vanlig taktik bland hotaktörer, främst för att det kräver specifik kunskap om äldre system och deras sårbarheter, som kanske inte är allmänt kända eller dokumenterade", säger Guenther. "Det är dock en växande trend, särskilt bland statligt sponsrade aktörer som har resurser och motivation att genomföra omfattande spaning och utveckla skräddarsydda bedrifter."

Som exempel pekar hon på flera hotaktörer som riktar sig mot den sk Ripple20 sårbarheter i en TCP/IP-stack som påverkade miljontals äldre IoT-enheter, såväl som kinesiska och iranska hotgrupper som riktade in sig på brister i äldre VPN-produkter.

Tidsstämpel:

Mer från Mörk läsning