กลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากจีน Volt Typhoon กำลังกำหนดเป้าหมายอุปกรณ์ Cisco รุ่นเก่าอย่างเป็นระบบในแคมเปญที่ซับซ้อนและซ่อนเร้นเพื่อเพิ่มโครงสร้างพื้นฐานการโจมตี
ในหลายกรณี ผู้คุกคามซึ่งเป็นที่รู้จักในเรื่องการกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญ กำลังใช้ประโยชน์จากช่องโหว่สองสามรายการจากปี 2019 ในเราเตอร์ เพื่อเจาะเข้าไปในอุปกรณ์เป้าหมายและควบคุมอุปกรณ์เหล่านั้น
กำหนดเป้าหมายภาคโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา
นักวิจัยจากทีมข่าวกรองภัยคุกคามของ SecurityScorecard ตรวจพบกิจกรรมดังกล่าวเมื่อทำการตรวจสอบติดตามผลกับผู้จำหน่ายรายล่าสุดและ รายงานของสื่อ เกี่ยวกับโวลต์ไต้ฝุ่นบุกเข้าไปในองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา และวางรากฐานสำหรับการหยุดชะงักที่อาจเกิดขึ้นในอนาคต การโจมตีดังกล่าวมุ่งเป้าไปที่ระบบสาธารณูปโภคด้านน้ำ ผู้ผลิตไฟฟ้า การคมนาคม และระบบสื่อสาร เหยื่อของกลุ่มนี้รวมถึงองค์กรต่างๆ ในสหรัฐอเมริกา สหราชอาณาจักร และออสเตรเลีย
หนึ่งในผู้ขายรายงานจาก ลูเมนอธิบายบอตเน็ตที่ประกอบด้วย เราเตอร์สำหรับสำนักงานขนาดเล็ก/โฮมออฟฟิศ (SOHO) ที่ Volt Typhoon — และกลุ่มภัยคุกคามอื่นๆ ของจีน — กำลังใช้เป็นเครือข่ายคำสั่งและการควบคุม (C2) ในการโจมตีเครือข่ายที่มีมูลค่าสูง เครือข่ายที่ Lumen อธิบายไว้ในรายงานประกอบด้วยเราเตอร์ที่หมดอายุการใช้งานเป็นส่วนใหญ่จาก Cisco, DrayTek และ Netgear ในระดับที่น้อยกว่า
นักวิจัย SecurityScorecard ใช้ตัวบ่งชี้การประนีประนอม (IoC) ที่ Lumen เผยแพร่พร้อมกับรายงานเพื่อดูว่าพวกเขาสามารถระบุโครงสร้างพื้นฐานใหม่ที่เกี่ยวข้องกับการรณรงค์ของ Volt Typhoon ได้หรือไม่ ที่ การสอบสวน แสดงให้เห็นว่ากิจกรรมของกลุ่มภัยคุกคามอาจขยายวงกว้างกว่าที่เคยคิดไว้ Rob Ames นักวิจัยด้านภัยคุกคามจาก SecurityScorecard กล่าว
ตัวอย่างเช่น ดูเหมือนว่า Volt Typhoon จะต้องรับผิดชอบต่อความเสียหายมากถึง 30% — หรือ 325 จาก 1,116 — ของเราเตอร์ Cisco RV320/325 ที่หมดอายุการใช้งานที่ SecurityScorecard ตรวจพบบนบอตเน็ต C2 ในช่วงระยะเวลา 37 วัน นักวิจัยของผู้จำหน่ายระบบรักษาความปลอดภัยสังเกตการเชื่อมต่อเป็นประจำระหว่างอุปกรณ์ Cisco ที่ถูกบุกรุกและโครงสร้างพื้นฐาน Volt Typhoon ที่รู้จักระหว่างวันที่ 1 ธันวาคม 2023 ถึง 7 มกราคม 2024 บ่งชี้ว่ามีการดำเนินการที่กระตือรือร้นมาก
การขุดค้นของ SecurityScorecard ยังแสดงให้เห็นว่า Volt Typhoon กำลังปรับใช้ “fy.sh” ซึ่งเป็น Web Shell ที่ไม่รู้จักมาจนบัดนี้บนเราเตอร์ของ Cisco และอุปกรณ์ขอบเครือข่ายอื่นๆ ที่กลุ่มนี้กำลังกำหนดเป้าหมายอยู่ นอกจากนี้ SecurityScorecard ยังสามารถระบุที่อยู่ IP ใหม่หลายรายการที่ปรากฏเชื่อมโยงกับกิจกรรม Volt Typhoon
“SecurityScorecard ใช้ IoC ที่เผยแพร่ก่อนหน้านี้ซึ่งเชื่อมโยงกับ Volt Typhoon เพื่อระบุอุปกรณ์ใหม่ที่ถูกบุกรุกที่เราสังเกตเห็น webshell ที่ไม่ได้ระบุก่อนหน้านี้ (fy.sh) และที่อยู่ IP อื่น ๆ ที่อาจเป็นตัวแทนของ IoC ใหม่” Ames กล่าว
การโจมตีทางไซเบอร์ที่อยู่นอกพื้นที่
โวลต์ไต้ฝุ่น เป็นกลุ่มภัยคุกคามที่ หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ระบุว่าเป็นผู้ดำเนินการภัยคุกคามของจีนที่ได้รับการสนับสนุนจากรัฐ โดยกำหนดเป้าหมายไปที่ภาคโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ ไมโครซอฟท์ซึ่งเป็นกลุ่มแรกที่รายงานเกี่ยวกับกลุ่มนี้ในเดือนพฤษภาคม 2023 ได้อธิบายว่ามีการใช้งานมาตั้งแต่อย่างน้อยในเดือนพฤษภาคม 2021 โดยตั้งอยู่ในจีน และดำเนินการจารกรรมทางไซเบอร์ขนาดใหญ่โดยใช้เทคนิคการใช้ชีวิตนอกประเทศ บริษัทได้ประเมินกลุ่มบริษัทว่าเป็นการพัฒนาขีดความสามารถเพื่อขัดขวางความสามารถด้านการสื่อสารที่สำคัญระหว่างสหรัฐอเมริกาและเอเชียในช่วงที่เกิดความขัดแย้งในอนาคต
เอมส์กล่าวว่าการใช้เราเตอร์ที่ถูกบุกรุกสำหรับการถ่ายโอนข้อมูลของ Volt Typhoon ถือเป็นข้อบ่งชี้ถึงความมุ่งมั่นของกลุ่มในการลักลอบ
“กลุ่มนี้มักจะกำหนดเส้นทางการรับส่งข้อมูลผ่านอุปกรณ์เหล่านี้เพื่อหลีกเลี่ยงการตรวจจับตามภูมิศาสตร์เมื่อกำหนดเป้าหมายองค์กรในพื้นที่เดียวกันกับเราเตอร์ที่ถูกบุกรุก” เขากล่าว “องค์กรเหล่านี้อาจมีโอกาสน้อยที่จะสังเกตเห็นกิจกรรมที่เป็นอันตราย หากการรับส่งข้อมูลที่เกี่ยวข้องดูเหมือนว่ามาจากพื้นที่ที่องค์กรตั้งอยู่”
การกำหนดเป้าหมายทางไซเบอร์สำหรับอุปกรณ์ที่หมดอายุการใช้งานที่มีช่องโหว่
การกำหนดเป้าหมายอุปกรณ์ที่หมดอายุการใช้งานของโวลต์ ไต้ฝุ่นก็สมเหตุสมผลดีจากมุมมองของผู้โจมตี เอมส์กล่าว มีช่องโหว่ร้ายแรงที่ทราบจำนวน 35 รายการซึ่งมีระดับความรุนแรงอย่างน้อย 9 เต็ม 10 ในระดับ CVSS ซึ่งรวมถึงช่องโหว่ 320 รายการในแค็ตตาล็อกช่องโหว่ที่ทราบแล้วของ CISA ซึ่งเชื่อมโยงกับเราเตอร์ Cisco RV2021 ที่ Volt Typhoon กำหนดเป้าหมายไว้ Cisco หยุดออกการแก้ไขข้อบกพร่อง การเผยแพร่การบำรุงรักษา และการซ่อมแซมเทคโนโลยีเมื่อสามปีที่แล้วในเดือนมกราคม XNUMX นอกเหนือจากอุปกรณ์ Cisco แล้ว บ็อตเน็ตที่เชื่อมโยงกับ Volt Typhoon ยังรวมถึงเราเตอร์ DrayTek Vigor และ Netgear ProSafe รุ่นเก่าที่ถูกบุกรุกอีกด้วย
“จากมุมมองของอุปกรณ์ พวกมันเป็นผลไม้ห้อยต่ำ” เอมส์กล่าว “เนื่องจาก 'การสิ้นสุดอายุการใช้งาน' หมายความว่าผู้ผลิตอุปกรณ์จะไม่ออกการอัปเดตให้พวกเขาอีกต่อไป ช่องโหว่ที่ส่งผลกระทบต่อพวกเขาจึงมีแนวโน้มที่จะไม่ได้รับการแก้ไข ส่งผลให้อุปกรณ์เสี่ยงต่อการถูกประนีประนอม”
Callie Guenther ผู้จัดการอาวุโสฝ่ายวิจัยภัยคุกคามทางไซเบอร์ที่ Critical Start กล่าวว่าการกำหนดเป้าหมายเชิงกลยุทธ์ของ Volt Typhoon ให้กับเราเตอร์ Cisco ที่หมดอายุแล้ว การพัฒนาเครื่องมือแบบกำหนดเอง เช่น fy.sh และการกำหนดเป้าหมายตามภูมิศาสตร์และภาคส่วน บ่งชี้ถึงการดำเนินการที่มีความซับซ้อนสูง
“การมุ่งเน้นที่ระบบเดิมไม่ใช่กลยุทธ์ทั่วไปในหมู่ผู้คุกคาม เนื่องจากต้องอาศัยความรู้เฉพาะเกี่ยวกับระบบเก่าและช่องโหว่ของระบบ ซึ่งอาจไม่รู้จักหรือจัดทำเป็นเอกสารอย่างกว้างขวาง” Guenther กล่าว “อย่างไรก็ตาม มันเป็นแนวโน้มที่เพิ่มขึ้น โดยเฉพาะอย่างยิ่งในกลุ่มนักแสดงที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีทรัพยากรและแรงจูงใจในการดำเนินการลาดตระเวนอย่างกว้างขวาง และพัฒนาการหาประโยชน์ที่เหมาะสม”
เป็นตัวอย่าง เธอชี้ไปที่ผู้แสดงภัยคุกคามหลายคนที่มุ่งเป้าไปที่สิ่งที่เรียกว่า ช่องโหว่ของ Ripple20 ในชุด TCP/IP ที่ส่งผลกระทบต่ออุปกรณ์ IoT รุ่นเก่าหลายล้านเครื่อง รวมถึงกลุ่มภัยคุกคามจีนและอิหร่านที่กำหนดเป้าหมายข้อบกพร่องในผลิตภัณฑ์ VPN รุ่นเก่า
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 1
- 10
- 116
- 2019
- 2021
- 2023
- 2024
- 35%
- 7
- 9
- a
- สามารถ
- เกี่ยวกับเรา
- คล่องแคล่ว
- อยากทำกิจกรรม
- นักแสดง
- นอกจากนี้
- ที่อยู่
- ได้รับผล
- น่าสงสาร
- กับ
- บริษัท ตัวแทน
- มาแล้ว
- ด้วย
- ในหมู่
- และ
- และโครงสร้างพื้นฐาน
- ใด
- ปรากฏ
- ปรากฏ
- เป็น
- AREA
- AS
- เอเชีย
- การประเมิน
- ที่เกี่ยวข้อง
- At
- โจมตี
- การโจมตี
- ออสเตรเลีย
- หลีกเลี่ยง
- กลับ
- ตาม
- BE
- เพราะ
- รับ
- กำลัง
- ระหว่าง
- บ็อตเน็ต
- ทำลาย
- หมดสภาพ
- Bug
- รณรงค์
- ความสามารถในการ
- แค็ตตาล็อก
- สาธารณรัฐประชาชนจีน
- ชาวจีน
- ซิสโก้
- ความมุ่งมั่น
- ร่วมกัน
- คมนาคม
- ระบบสื่อสาร
- บริษัท
- ประกอบด้วย
- การประนีประนอม
- ที่ถูกบุกรุก
- ประนีประนอม
- ความประพฤติ
- การดำเนิน
- ความขัดแย้ง
- การเชื่อมต่อ
- ประกอบ
- ควบคุม
- ได้
- คู่
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ขณะนี้
- ประเพณี
- ไซเบอร์
- cybersecurity
- ข้อมูล
- ธันวาคม
- ปรับใช้
- อธิบาย
- การตรวจพบ
- พัฒนา
- ที่กำลังพัฒนา
- พัฒนาการ
- อุปกรณ์
- ทำลาย
- การหยุดชะงัก
- การทำ
- ในระหว่าง
- ขอบ
- โดยเฉพาะอย่างยิ่ง
- การจารกรรม
- ตัวอย่าง
- ตัวอย่าง
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- การหาประโยชน์
- กว้างขวาง
- ขอบเขต
- ชื่อจริง
- แก้ไข
- ข้อบกพร่อง
- โดยมุ่งเน้น
- สำหรับ
- ราคาเริ่มต้นที่
- อนาคต
- FY
- ตามภูมิศาสตร์
- ในทางภูมิศาสตร์
- Go
- พื้น
- บัญชีกลุ่ม
- กลุ่ม
- ขึ้น
- การเจริญเติบโต
- มี
- he
- อย่างสูง
- อย่างไรก็ตาม
- HTTPS
- ระบุ
- แยกแยะ
- if
- in
- รวม
- รวมถึง
- รวมทั้ง
- การแสดง
- ตัวชี้วัด
- โครงสร้างพื้นฐาน
- Intelligence
- เข้าไป
- การสืบสวน
- ร่วมมือ
- IOT
- อุปกรณ์ iot
- IP
- ที่อยู่ IP
- ชาวอิหร่าน
- ปัญหา
- การออก
- IT
- ITS
- แจน
- มกราคม
- มกราคม
- jpg
- ความรู้
- ที่รู้จักกัน
- ขนาดใหญ่
- การวาง
- น้อยที่สุด
- การออกจาก
- มรดก
- น้อยลง
- กดไลก์
- น่าจะ
- ที่เชื่อมโยง
- อีกต่อไป
- Lot
- ลูเมน
- ส่วนใหญ่
- การบำรุงรักษา
- ทำให้
- ที่เป็นอันตราย
- ผู้จัดการ
- หลาย
- อาจ..
- วิธี
- ไมโครซอฟท์
- อาจ
- ล้าน
- ข้อมูลเพิ่มเติม
- แรงจูงใจ
- มาก
- หลาย
- เครือข่าย
- เครือข่าย
- ใหม่
- ใหม่
- ไม่
- สังเกต..
- of
- Office
- มักจะ
- เก่ากว่า
- on
- ONE
- การดำเนินการ
- or
- ใบสั่ง
- organizacja
- องค์กร
- อื่นๆ
- ออก
- เกิน
- ระยะเวลา
- มุมมอง
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- ที่มีศักยภาพ
- อำนาจ
- ก่อนหน้านี้
- ส่วนใหญ่
- ผู้ผลิต
- ผลิตภัณฑ์
- ทางลาด
- อันดับ
- เมื่อเร็ว ๆ นี้
- ปกติ
- การเผยแพร่
- สัมพันธ์
- รายงาน
- รายงาน
- แสดง
- ต้อง
- การวิจัย
- นักวิจัย
- นักวิจัย
- แหล่งข้อมูล
- รับผิดชอบ
- ปล้น
- เส้นทาง
- s
- เดียวกัน
- พูดว่า
- ขนาด
- ภาค
- ภาค
- ความปลอดภัย
- เห็น
- ระดับอาวุโส
- ความรู้สึก
- เธอ
- เปลือก
- แสดงให้เห็นว่า
- ตั้งแต่
- มีขนาดเล็กกว่า
- บาง
- ซับซ้อน
- โดยเฉพาะ
- กอง
- ทักษะ
- เริ่มต้น
- ชิงทรัพย์
- หลบ ๆ ซ่อน ๆ
- หยุด
- ยุทธศาสตร์
- แนะนำ
- ซัพพลายเออร์
- ฉลาด
- ระบบ
- ปรับปรุง
- เอา
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- ทีซีพี/ไอพี
- ทีม
- เทคนิค
- เทคโนโลยี
- กว่า
- ที่
- พื้นที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิดว่า
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- ตลอด
- ไปยัง
- เครื่องมือ
- การจราจร
- การถ่ายโอน
- การขนส่ง
- เทรนด์
- สอง
- Uk
- ไม่ทราบ
- การปรับปรุง
- us
- ใช้
- มือสอง
- การใช้
- ยูทิลิตี้
- ผู้ขาย
- มาก
- ผู้ที่ตกเป็นเหยื่อ
- โวลต์
- VPN
- ช่องโหว่
- อ่อนแอ
- คือ
- น้ำดื่ม
- we
- เว็บ
- ดี
- เมื่อ
- ที่
- WHO
- อย่างกว้างขวาง
- จะ
- กับ
- ปี
- ลมทะเล