Federaller Volt Typhoon'un SOHO Botnet'inin Uzaktan Öldürülmesini Doğruladı

ABD kolluk kuvvetleri, Volt Typhoon olarak bilinen, Çin'in sponsor olduğu kötü şöhretli siber saldırı grubunun altyapısını bozdu.

FBI Direktörü'nün geliştirdiği gelişmiş kalıcı tehdit (APT) Christopher Wray bu hafta şöyle dedi: "Bu çağın tanımlayıcı siber tehdidi", çeşitli ağlardan ödün verilerek oluşturulan genişleyen bir botnet'i yönetmesiyle biliniyor. zayıf korunan küçük ofis/ev ofisi (SOHO) yönlendiricileri. Devlet destekli grup bunu, özellikle ABD'nin kritik altyapısına yönelik diğer saldırılar için bir fırlatma rampası olarak kullanıyor çünkü botnet'in dağıtılmış yapısı, etkinliğin izlenmesini zorlaştırıyor.

Sonra Volt Typhoon'un yayından kaldırıldığı bildirildi Reuters tarafından bu hafta başında ABD'li yetkililer icra eylemini onayladı dün geç vakitlerde. FBI, saldırganın komuta ve kontrol (C2) ağını taklit ederek grup tarafından kullanılan "KV Botnet" kötü amaçlı yazılımının bulaştığı yönlendiricilere uzaktan öldürme anahtarı gönderdiğini duyurdu.

FBI'ın açıklamasına göre "Mahkeme yetkilisi operasyon, KV Botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve botnet'i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi, botnet ile bağlantılarını kesmek için ek adımlar attı."

Şunu ekledi: “KV Botnet'i oluşturan yönlendiricilerin büyük çoğunluğu, 'kullanım ömrü sonu' durumuna ulaştıkları için savunmasız olan Cisco ve Netgear yönlendiricileriydi; yani artık üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla desteklenmiyorlardı.”

Yüzlerce küçük işletmenin sahip olduğu son teknoloji donanıma sessizce ulaşmak endişe verici görünse de Fed, bunun hiçbir bilgiye erişmediğini ve yönlendiricilerin hiçbir meşru işlevini etkilemediğini vurguladı. Yönlendirici sahipleri, cihazları yeniden başlatarak bu hafifletici etkenleri ortadan kaldırabilir; ancak bu, cihazların yeniden enfeksiyona karşı duyarlı olmasına neden olur.

Volt Typhoon'un Endüstriyel Saldırısı Devam Edecek

Volt Typhoon (diğer adıyla Bronze Silhouette ve Vanguard Panda), Çin'in kamu hizmetlerine, enerji sektörü şirketlerine sızmaya yönelik daha geniş bir çabasının bir parçası. askeri üsler, telekom şirketlerive endüstriyel sitelere, yıkıcı ve yıkıcı saldırılara hazırlık olarak dayanak noktası olan kötü amaçlı yazılımlar yerleştirmek için. Wray ve diğer yetkililer bu hafta, amacın Tayvan nedeniyle kinetik bir savaşın başlaması veya Güney Çin Denizi'ndeki ticaret sorunları durumunda ABD'nin tepki verme kabiliyetine zarar verecek konumda olmak olduğu konusunda uyardı.

Bu büyüyen bir Çin'in olağan bilgisayar korsanlığı ve casusluk operasyonlarından ayrılma. BlueVoyant'ın küresel profesyonel hizmetler başkanı ve eski bir FBI siber bölümü özel ajanı olan Austin Berglas, "Kamu hizmetleri ve su gibi kritik hizmetlere odaklanan siber savaş, siber casusluktan farklı bir oyunun sonuna işaret ediyor" diyor. “Artık avantaja değil, hasara ve kalelere odaklanılıyor.”

Yönlendiricinin yeniden başlatılmasının cihazları yeniden enfeksiyona açık hale getirdiği ve Volt Typhoon'un kritik altyapı ocağına karşı gizli saldırılar başlatmak için kesinlikle başka yollara sahip olduğu gerçeği göz önüne alındığında, yasal işlemin APT için yalnızca geçici bir kesinti olması kaçınılmazdır; FBI açıklamasında bunu kabul etti.

Darktrace'in küresel tehdit analizi başkanı Toby Lewis, e-posta yoluyla şunları söyledi: "ABD hükümetinin eylemleri muhtemelen Volt Typhoon'un altyapısını önemli ölçüde bozdu, ancak saldırganların kendisi serbest kaldı." "Altyapıyı hedeflemek ve saldırganın yeteneklerini ortadan kaldırmak genellikle aktörlerin yeniden inşa edip yeniden düzenleyecekleri bir sessizliğe yol açıyor ki bunu muhtemelen şimdi göreceğiz."

Buna rağmen iyi haber şu ki, kesinti konusunda Fed'lerle birlikte çalışan Mandiant Intelligence - Google Cloud'un başkan yardımcısı Sandra Joyce, ABD'nin artık Çin'in strateji ve taktiklerini "anlamış" olduğunu söylüyor. Volt Typhoon'un, radar altında kalmak amacıyla faaliyetlerinin kaynağını sürekli olarak değiştirmek için dağıtılmış bir botnet kullanmanın yanı sıra, savunucuların kendilerini ağlar arasında avlamak için kullandıkları imzaları da azalttığını ve ayakta kalabilecek herhangi bir ikili programın kullanımından kaçındıklarını söylüyor. uzlaşma göstergeleri (IoC'ler) olarak ortaya çıkar.  

Yine de Joyce, "Bunun gibi etkinlikleri takip etmek son derece zor ama imkansız değil" diyor. “Volt Typhoon'un amacı sessizce kazmaktı dikkati kendi üzerine çekmeden bir beklenmedik durum için. Neyse ki Volt Typhoon gözden kaçmadı ve av zorlu olsa da istihbarat toplamayı geliştirmek ve bu aktörü engellemek için şimdiden uyum sağlıyoruz. Geldiklerini görüyoruz, onları nasıl tanımlayacağımızı biliyoruz ve en önemlisi hedefledikleri ağları nasıl güçlendireceğimizi biliyoruz.”

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• Kaynak: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet