Bão Volt tăng cường hoạt động độc hại chống lại cơ sở hạ tầng quan trọng

Nhóm gián điệp mạng Volt Typhoon do Trung Quốc hậu thuẫn đang nhắm mục tiêu một cách có hệ thống vào các thiết bị cũ của Cisco trong một chiến dịch tinh vi và lén lút nhằm phát triển cơ sở hạ tầng tấn công của mình.

Trong nhiều trường hợp, kẻ đe dọa, được biết đến với việc nhắm mục tiêu vào cơ sở hạ tầng quan trọng, đang khai thác một số lỗ hổng từ năm 2019 trong bộ định tuyến để đột nhập vào các thiết bị mục tiêu và chiếm quyền kiểm soát chúng.

Nhắm mục tiêu vào các lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ

Các nhà nghiên cứu từ nhóm tình báo mối đe dọa của SecurityScorecard đã phát hiện ra hoạt động này khi thực hiện một số cuộc điều tra tiếp theo về nhà cung cấp gần đây và báo cáo phương tiện truyền thông về việc cơn bão Volt xâm nhập vào các tổ chức cơ sở hạ tầng quan trọng của Hoa Kỳ và đặt nền móng cho những gián đoạn tiềm ẩn trong tương lai. Các cuộc tấn công nhằm vào các công ty cung cấp nước, nhà cung cấp điện, hệ thống giao thông và thông tin liên lạc. Nạn nhân của nhóm bao gồm các tổ chức ở Mỹ, Anh và Úc.

Một trong những báo cáo của nhà cung cấp, từ Lumen, đã mô tả một mạng botnet bao gồm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) mà Volt Typhoon — và các nhóm đe dọa khác của Trung Quốc — đang sử dụng làm mạng chỉ huy và kiểm soát (C2) trong các cuộc tấn công chống lại các mạng có giá trị cao. Mạng mà Lumen mô tả trong báo cáo chủ yếu bao gồm các bộ định tuyến đã hết tuổi thọ của Cisco, DrayTek và ở mức độ nhỏ hơn là Netgear.

Các nhà nghiên cứu của SecurityScorecard đã sử dụng các chỉ số xâm phạm (IoC) mà Lumen đưa ra cùng với báo cáo của mình để xem liệu họ có thể xác định được cơ sở hạ tầng mới liên quan đến chiến dịch của Volt Typhoon hay không. Các điều tra Rob Ames, nhà nghiên cứu mối đe dọa nhân viên tại SecurityScorecard cho biết, cho thấy hoạt động của nhóm đe dọa có thể rộng hơn so với suy nghĩ trước đây.

Ví dụ: Volt Typhoon dường như đã chịu trách nhiệm xâm phạm tới 30% - hoặc 325 trên 1,116 - bộ định tuyến Cisco RV320/325 đã hết vòng đời mà SecurityScorecard quan sát được trên mạng botnet C2 trong khoảng thời gian 37 ngày. Các nhà nghiên cứu của nhà cung cấp bảo mật đã quan sát thấy các kết nối thường xuyên giữa các thiết bị Cisco bị xâm nhập và cơ sở hạ tầng Volt Typhoon đã biết trong khoảng thời gian từ ngày 1 tháng 2023 năm 7 đến ngày 2024 tháng XNUMX năm XNUMX, cho thấy hoạt động này rất tích cực.

Quá trình tìm hiểu của SecurityScorecard cũng cho thấy Volt Typhoon đang triển khai “fy.sh”, một Web shell cho đến nay vẫn chưa được biết đến trên các bộ định tuyến của Cisco và các thiết bị biên mạng khác mà nhóm hiện đang nhắm tới. Ngoài ra, SecurityScorecard có thể xác định nhiều địa chỉ IP mới có liên quan đến hoạt động của Volt Typhoon.

Ames cho biết: “SecurityScorecard đã sử dụng các IoC được lưu hành trước đây được liên kết với Volt Typhoon để xác định các thiết bị mới bị xâm nhập mà chúng tôi quan sát thấy, webshell chưa được chỉ định trước đó (fy.sh) và các địa chỉ IP khác có thể đại diện cho các IoC mới”.

Các cuộc tấn công mạng sống ngoài đất liền

Bão Volt là một nhóm mối đe dọa mà Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã được xác định là tác nhân đe dọa do nhà nước Trung Quốc tài trợ nhắm vào các lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ. microsoft, người đầu tiên đưa tin về nhóm này vào tháng 2023 năm 2021, đã mô tả nhóm này đã hoạt động ít nhất từ ​​tháng XNUMX năm XNUMX, có trụ sở tại Trung Quốc và thực hiện hoạt động gián điệp mạng quy mô lớn bằng cách sử dụng nhiều kỹ thuật sống ngoài đất liền. Công ty đánh giá nhóm này đang phát triển khả năng nhằm phá vỡ khả năng liên lạc quan trọng giữa Mỹ và châu Á trong các cuộc xung đột tiềm ẩn trong tương lai.

Ames cho biết việc Volt Typhoon sử dụng các bộ định tuyến bị xâm nhập để truyền dữ liệu là một dấu hiệu cho thấy cam kết tàng hình của nhóm.

Ông nói: “Nhóm này thường định tuyến lưu lượng truy cập của mình thông qua các thiết bị này để tránh bị phát hiện dựa trên địa lý khi nhắm mục tiêu vào các tổ chức trong cùng khu vực với các bộ định tuyến bị xâm nhập”. “Các tổ chức này có thể ít nhận thấy hoạt động độc hại hơn nếu lưu lượng truy cập liên quan dường như bắt nguồn từ khu vực mà tổ chức đặt trụ sở.”

Nhắm mục tiêu mạng vào thiết bị cuối đời dễ bị tổn thương

Ames cho biết, việc Volt Typhoon nhắm mục tiêu vào các thiết bị đã hết tuổi thọ cũng có nhiều ý nghĩa từ quan điểm của kẻ tấn công. Có khoảng 35 lỗ hổng nghiêm trọng đã biết với mức độ nghiêm trọng ít nhất là 9/10 theo thang điểm CVSS — bao gồm hai lỗ hổng trong danh mục Lỗ hổng bị khai thác đã biết của CISA — liên quan đến bộ định tuyến Cisco RV320 mà Volt Typhoon đang nhắm mục tiêu. Cisco đã ngừng phát hành bất kỳ bản sửa lỗi, bản phát hành bảo trì và sửa chữa nào cho công nghệ này ba năm trước, vào tháng 2021 năm XNUMX. Ngoài các thiết bị Cisco, mạng botnet liên kết với Volt Typhoon còn bao gồm các bộ định tuyến DrayTek Vigor và Netgear ProSafe cũ đã bị xâm phạm.

Ames nói: “Từ góc độ của bản thân các thiết bị, chúng là những thành quả dễ dàng thực hiện”. “Vì 'hết vòng đời' có nghĩa là nhà sản xuất thiết bị sẽ không còn phát hành bản cập nhật cho chúng nữa nên các lỗ hổng ảnh hưởng đến chúng có thể không được giải quyết, khiến thiết bị dễ bị xâm phạm.”

Callie Guenther, quản lý cấp cao về nghiên cứu mối đe dọa mạng tại Critical Start, cho biết mục tiêu chiến lược của Volt Typhoon là các bộ định tuyến Cisco đã hết tuổi thọ, việc phát triển các công cụ tùy chỉnh như fy.sh và việc nhắm mục tiêu theo ngành và địa lý của nó cho thấy một hoạt động rất phức tạp.

Guenther nói: “Tập trung vào các hệ thống cũ không phải là chiến thuật phổ biến của các tác nhân đe dọa, chủ yếu vì nó đòi hỏi kiến ​​thức cụ thể về các hệ thống cũ và các lỗ hổng của chúng, những điều có thể không được biết đến hoặc ghi lại rộng rãi”. “Tuy nhiên, đó là một xu hướng ngày càng tăng, đặc biệt là trong số các chủ thể được nhà nước bảo trợ, những người có đủ nguồn lực và động lực để tiến hành trinh sát trên diện rộng và phát triển các hoạt động khai thác phù hợp”.

Ví dụ, cô chỉ ra nhiều tác nhân đe dọa nhắm mục tiêu vào cái gọi là Lỗ hổng Ripple20 trong ngăn xếp TCP/IP đã ảnh hưởng đến hàng triệu thiết bị IoT cũ cũng như các nhóm đe dọa của Trung Quốc và Iran nhắm vào lỗ hổng trong các sản phẩm VPN cũ hơn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure