พายุไต้ฝุ่นโวลต์เพิ่มกิจกรรมที่เป็นอันตรายต่อโครงสร้างพื้นฐานที่สำคัญ

กลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากจีน Volt Typhoon กำลังกำหนดเป้าหมายอุปกรณ์ Cisco รุ่นเก่าอย่างเป็นระบบในแคมเปญที่ซับซ้อนและซ่อนเร้นเพื่อเพิ่มโครงสร้างพื้นฐานการโจมตี

ในหลายกรณี ผู้คุกคามซึ่งเป็นที่รู้จักในเรื่องการกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญ กำลังใช้ประโยชน์จากช่องโหว่สองสามรายการจากปี 2019 ในเราเตอร์ เพื่อเจาะเข้าไปในอุปกรณ์เป้าหมายและควบคุมอุปกรณ์เหล่านั้น

กำหนดเป้าหมายภาคโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

นักวิจัยจากทีมข่าวกรองภัยคุกคามของ SecurityScorecard ตรวจพบกิจกรรมดังกล่าวเมื่อทำการตรวจสอบติดตามผลกับผู้จำหน่ายรายล่าสุดและ รายงานของสื่อ เกี่ยวกับโวลต์ไต้ฝุ่นบุกเข้าไปในองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา และวางรากฐานสำหรับการหยุดชะงักที่อาจเกิดขึ้นในอนาคต การโจมตีดังกล่าวมุ่งเป้าไปที่ระบบสาธารณูปโภคด้านน้ำ ผู้ผลิตไฟฟ้า การคมนาคม และระบบสื่อสาร เหยื่อของกลุ่มนี้รวมถึงองค์กรต่างๆ ในสหรัฐอเมริกา สหราชอาณาจักร และออสเตรเลีย

หนึ่งในผู้ขายรายงานจาก ลูเมนอธิบายบอตเน็ตที่ประกอบด้วย เราเตอร์สำหรับสำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ที่ Volt Typhoon — และกลุ่มภัยคุกคามอื่นๆ ของจีน — กำลังใช้เป็นเครือข่ายคำสั่งและการควบคุม (C2) ในการโจมตีเครือข่ายที่มีมูลค่าสูง เครือข่ายที่ Lumen อธิบายไว้ในรายงานประกอบด้วยเราเตอร์ที่หมดอายุการใช้งานเป็นส่วนใหญ่จาก Cisco, DrayTek และ Netgear ในระดับที่น้อยกว่า

นักวิจัย SecurityScorecard ใช้ตัวบ่งชี้การประนีประนอม (IoC) ที่ Lumen เผยแพร่พร้อมกับรายงานเพื่อดูว่าพวกเขาสามารถระบุโครงสร้างพื้นฐานใหม่ที่เกี่ยวข้องกับการรณรงค์ของ Volt Typhoon ได้หรือไม่ ที่ การสอบสวน แสดงให้เห็นว่ากิจกรรมของกลุ่มภัยคุกคามอาจขยายวงกว้างกว่าที่เคยคิดไว้ Rob Ames นักวิจัยด้านภัยคุกคามจาก SecurityScorecard กล่าว

ตัวอย่างเช่น ดูเหมือนว่า Volt Typhoon จะต้องรับผิดชอบต่อความเสียหายมากถึง 30% — หรือ 325 จาก 1,116 — ของเราเตอร์ Cisco RV320/325 ที่หมดอายุการใช้งานที่ SecurityScorecard ตรวจพบบนบอตเน็ต C2 ในช่วงระยะเวลา 37 วัน นักวิจัยของผู้จำหน่ายระบบรักษาความปลอดภัยสังเกตการเชื่อมต่อเป็นประจำระหว่างอุปกรณ์ Cisco ที่ถูกบุกรุกและโครงสร้างพื้นฐาน Volt Typhoon ที่รู้จักระหว่างวันที่ 1 ธันวาคม 2023 ถึง 7 มกราคม 2024 บ่งชี้ว่ามีการดำเนินการที่กระตือรือร้นมาก

การขุดค้นของ SecurityScorecard ยังแสดงให้เห็นว่า Volt Typhoon กำลังปรับใช้ “fy.sh” ซึ่งเป็น Web Shell ที่ไม่รู้จักมาจนบัดนี้บนเราเตอร์ของ Cisco และอุปกรณ์ขอบเครือข่ายอื่นๆ ที่กลุ่มนี้กำลังกำหนดเป้าหมายอยู่ นอกจากนี้ SecurityScorecard ยังสามารถระบุที่อยู่ IP ใหม่หลายรายการที่ปรากฏเชื่อมโยงกับกิจกรรม Volt Typhoon

“SecurityScorecard ใช้ IoC ที่เผยแพร่ก่อนหน้านี้ซึ่งเชื่อมโยงกับ Volt Typhoon เพื่อระบุอุปกรณ์ใหม่ที่ถูกบุกรุกที่เราสังเกตเห็น webshell ที่ไม่ได้ระบุก่อนหน้านี้ (fy.sh) และที่อยู่ IP อื่น ๆ ที่อาจเป็นตัวแทนของ IoC ใหม่” Ames กล่าว

การโจมตีทางไซเบอร์ที่อยู่นอกพื้นที่

โวลต์ไต้ฝุ่น เป็นกลุ่มภัยคุกคามที่ หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ระบุว่าเป็นผู้ดำเนินการภัยคุกคามของจีนที่ได้รับการสนับสนุนจากรัฐ โดยกำหนดเป้าหมายไปที่ภาคโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ไมโครซอฟท์ซึ่งเป็นกลุ่มแรกที่รายงานเกี่ยวกับกลุ่มนี้ในเดือนพฤษภาคม 2023 ได้อธิบายว่ามีการใช้งานมาตั้งแต่อย่างน้อยในเดือนพฤษภาคม 2021 โดยตั้งอยู่ในจีน และดำเนินการจารกรรมทางไซเบอร์ขนาดใหญ่โดยใช้เทคนิคการใช้ชีวิตนอกประเทศ บริษัทได้ประเมินกลุ่มบริษัทว่าเป็นการพัฒนาขีดความสามารถเพื่อขัดขวางความสามารถด้านการสื่อสารที่สำคัญระหว่างสหรัฐอเมริกาและเอเชียในช่วงที่เกิดความขัดแย้งในอนาคต

เอมส์กล่าวว่าการใช้เราเตอร์ที่ถูกบุกรุกสำหรับการถ่ายโอนข้อมูลของ Volt Typhoon ถือเป็นข้อบ่งชี้ถึงความมุ่งมั่นของกลุ่มในการลักลอบ

“กลุ่มนี้มักจะกำหนดเส้นทางการรับส่งข้อมูลผ่านอุปกรณ์เหล่านี้เพื่อหลีกเลี่ยงการตรวจจับตามภูมิศาสตร์เมื่อกำหนดเป้าหมายองค์กรในพื้นที่เดียวกันกับเราเตอร์ที่ถูกบุกรุก” เขากล่าว “องค์กรเหล่านี้อาจมีโอกาสน้อยที่จะสังเกตเห็นกิจกรรมที่เป็นอันตราย หากการรับส่งข้อมูลที่เกี่ยวข้องดูเหมือนว่ามาจากพื้นที่ที่องค์กรตั้งอยู่”

การกำหนดเป้าหมายทางไซเบอร์สำหรับอุปกรณ์ที่หมดอายุการใช้งานที่มีช่องโหว่

การกำหนดเป้าหมายอุปกรณ์ที่หมดอายุการใช้งานของโวลต์ ไต้ฝุ่นก็สมเหตุสมผลดีจากมุมมองของผู้โจมตี เอมส์กล่าว มีช่องโหว่ร้ายแรงที่ทราบจำนวน 35 รายการซึ่งมีระดับความรุนแรงอย่างน้อย 9 เต็ม 10 ในระดับ CVSS ซึ่งรวมถึงช่องโหว่ 320 รายการในแค็ตตาล็อกช่องโหว่ที่ทราบแล้วของ CISA ซึ่งเชื่อมโยงกับเราเตอร์ Cisco RV2021 ที่ Volt Typhoon กำหนดเป้าหมายไว้ Cisco หยุดออกการแก้ไขข้อบกพร่อง การเผยแพร่การบำรุงรักษา และการซ่อมแซมเทคโนโลยีเมื่อสามปีที่แล้วในเดือนมกราคม XNUMX นอกเหนือจากอุปกรณ์ Cisco แล้ว บ็อตเน็ตที่เชื่อมโยงกับ Volt Typhoon ยังรวมถึงเราเตอร์ DrayTek Vigor และ Netgear ProSafe รุ่นเก่าที่ถูกบุกรุกอีกด้วย

“จากมุมมองของอุปกรณ์ พวกมันเป็นผลไม้ห้อยต่ำ” เอมส์กล่าว “เนื่องจาก 'การสิ้นสุดอายุการใช้งาน' หมายความว่าผู้ผลิตอุปกรณ์จะไม่ออกการอัปเดตให้พวกเขาอีกต่อไป ช่องโหว่ที่ส่งผลกระทบต่อพวกเขาจึงมีแนวโน้มที่จะไม่ได้รับการแก้ไข ส่งผลให้อุปกรณ์เสี่ยงต่อการถูกประนีประนอม”

Callie Guenther ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคามทางไซเบอร์ที่ Critical Start กล่าวว่าการกำหนดเป้าหมายเชิงกลยุทธ์ของ Volt Typhoon ให้กับเราเตอร์ Cisco ที่หมดอายุแล้ว การพัฒนาเครื่องมือแบบกำหนดเอง เช่น fy.sh และการกำหนดเป้าหมายตามภูมิศาสตร์และภาคส่วน บ่งชี้ถึงการดำเนินการที่มีความซับซ้อนสูง

“การมุ่งเน้นที่ระบบเดิมไม่ใช่กลยุทธ์ทั่วไปในหมู่ผู้คุกคาม เนื่องจากต้องอาศัยความรู้เฉพาะเกี่ยวกับระบบเก่าและช่องโหว่ของระบบ ซึ่งอาจไม่รู้จักหรือจัดทำเป็นเอกสารอย่างกว้างขวาง” Guenther กล่าว “อย่างไรก็ตาม มันเป็นแนวโน้มที่เพิ่มขึ้น โดยเฉพาะอย่างยิ่งในกลุ่มนักแสดงที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีทรัพยากรและแรงจูงใจในการดำเนินการลาดตระเวนอย่างกว้างขวาง และพัฒนาการหาประโยชน์ที่เหมาะสม”

เป็นตัวอย่าง เธอชี้ไปที่ผู้แสดงภัยคุกคามหลายคนที่มุ่งเป้าไปที่สิ่งที่เรียกว่า ช่องโหว่ของ Ripple20 ในชุด TCP/IP ที่ส่งผลกระทบต่ออุปกรณ์ IoT รุ่นเก่าหลายล้านเครื่อง รวมถึงกลุ่มภัยคุกคามจีนและอิหร่านที่กำหนดเป้าหมายข้อบกพร่องในผลิตภัณฑ์ VPN รุ่นเก่า

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure