Microsoft ve ABD ve diğer dört ülkeden hükümetler Çarşamba günü yaptığı açıklamada, Çin hükümetine ait bir bilgisayar korsanlığı grubunun ABD ve Guam’daki kritik altyapı ortamlarında önemli bir yer edindiğini ve ağ kimlik bilgilerini ve hassas verileri büyük ölçüde tespit edilemez durumdayken çaldığını söyledi.
Microsoft tarafından Volt Typhoon adı altında izlenen grup, en az iki yıldır Çin Halk Cumhuriyeti, Microsoft için casusluk ve bilgi toplama odaklı faaliyet gösteriyor. söz konusu. Gizli kalmak için bilgisayar korsanları, otomatik hale getirilmek yerine saldırganlar tarafından manuel olarak kontrol edilen virüslü cihazlara önceden yüklenmiş veya yerleşik araçlar kullanır; bu, “karadan yaşamak” olarak bilinen bir tekniktir. Kampanya Microsoft tarafından ifşa edilmesinin yanı sıra bir belgede de belgelendi. danışma ortaklaşa yayınlanan:
• ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) • ABD Federal Soruşturma Bürosu (FBI) • Avustralya Siber Güvenlik Merkezi (ACSC) • Kanada Siber Güvenlik Merkezi (CCCS) • Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ) • Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK)
Karada yaşama tekniğinin yanı sıra, bilgisayar korsanları, virüs bulaşmış bilgisayarlarla iletişimin coğrafi bölgede yerel olan ISP’lerden yayılmasına izin veren ara altyapı olarak güvenliği ihlal edilmiş ev ve küçük ofis yönlendiricilerini kullanarak faaliyetlerini daha da gizlediler. Microsoft’un danışma belgesinde araştırmacılar şunları yazdı:
Tehdit aktörü, hedeflerine ulaşmak için bu kampanyada gizliliğe güçlü bir vurgu yapıyor ve neredeyse yalnızca karada yaşama teknikleri ve uygulamalı klavye etkinliği. (1) yerel ve ağ sistemlerinden kimlik bilgileri de dahil olmak üzere verileri toplamak, (2) verileri sızma için hazırlamak üzere bir arşiv dosyasına koymak ve ardından (3) çalınan geçerli kimlik bilgilerini korumak için kullanmak için komut satırı aracılığıyla komutlar verirler. sebat. Ayrıca Volt Typhoon, trafiği güvenliği ihlal edilmiş küçük ofis ve ev ofisi (SOHO) ağ ekipmanları (yönlendiriciler, güvenlik duvarları ve VPN donanımı dahil) aracılığıyla yönlendirerek normal ağ etkinliğine uyum sağlamaya çalışır. Ayrıca, radarın altında daha fazla kalmak için proxy üzerinden bir komuta ve kontrol (C2) kanalı oluşturmak için açık kaynak araçlarının özel sürümlerini kullandıkları da gözlemlendi.
Microsoft araştırmacıları, kampanyanın muhtemelen “gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını bozmak” için yetenekler geliştirmek üzere tasarlandığını söyledi. Guam, Pasifik limanları ve sağladığı hava üssü nedeniyle ABD ordusu için önemlidir. Tayvan üzerindeki gerilimler artarken, Guam’ın stratejik önemi bir odak noktası haline geldi.
Volt Typhoon saldırıları için ilk giriş noktası, son yıllarda ağları etkilemek için önemli bir dayanak noktası olduğu kanıtlanmış olan, internete dönük Fortinet FortiGuard cihazlarıdır. Bilgisayar korsanları, yöneticilerin düzeltmeyi ihmal ettiği FortiGuard cihazlarındaki güvenlik açıklarından yararlanarak, kimlik bilgilerini bir ağın, diğer tüm hesaplar için kullanıcı adlarını, parola karmalarını ve diğer hassas bilgileri depolayan Active Directory’ye çıkarır. Bilgisayar korsanları daha sonra bu verileri ağdaki diğer cihazları etkilemek için kullanır.
Microsoft araştırmacıları, “Volt Typhoon, güvenliği ihlal edilmiş SOHO ağ uç cihazları (yönlendiriciler dahil) aracılığıyla tüm ağ trafiğini hedeflerine proxy olarak sağlıyor” diye yazdı. “Microsoft, ASUS, Cisco, D-Link, NETGEAR ve Zyxel tarafından üretilenler de dahil olmak üzere birçok cihazın sahibinin HTTP veya SSH yönetim arayüzlerini İnternet’e göstermesine izin verdiğini onayladı.”
Danışma belgesinin geri kalanı çoğunlukla, yöneticilerin ağlarına virüs bulaşıp bulaşmadığını belirlemek için kullanabilecekleri güvenlik ihlali göstergelerini ana hatlarıyla belirtir.
Microsoft araştırmacıları şunları yazdı:
Çoğu durumda Volt Typhoon, güvenliği ihlal edilmiş sistemlere, yetkili kullanıcıların yaptığı gibi geçerli kimlik bilgileriyle giriş yaparak erişir. Bununla birlikte, az sayıda vakada Microsoft, Volt Typhoon operatörlerinin güvenliği ihlal edilmiş sistemlerde erişimi kolaylaştırmak için proxy’ler oluşturduğunu gözlemlemiştir. Bunu yerleşik ile başarırlar netsh bağlantı noktası proxy’si emretmek.
Volt Typhoon, güvenliği ihlal edilmiş bir sistemde bir bağlantı noktası proxy’si oluşturma ve daha sonra silme komutları verir.
Nadir durumlarda, proxy üzerinden bir C2 kanalı oluşturmak için açık kaynak araçları Impacket ve Fast Reverse Proxy’nin (FRP) özel sürümlerini de kullanırlar.
Güvenliği ihlal edilmiş kuruluşlar, alışılmadık IP adreslerinden başarılı oturum açmalar şeklinde C2 erişimini gözlemleyecektir. Bu oturum açma işlemleri için kullanılan aynı kullanıcı hesabı, daha fazla kimlik bilgisi erişimi sağlayan komut satırı etkinliğine bağlanabilir. Microsoft, Volt Typhoon’u izlemeye ve etkinliklerindeki ve araçlarındaki değişiklikleri izlemeye devam edecektir.
Etkilenen sektörler arasında iletişim, imalat, hizmet, ulaşım, inşaat, denizcilik, hükümet, bilgi teknolojisi ve eğitim yer alıyor. Öneriler, güvenliği ihlal edilmiş tüm ağların temizlenmesi için rehberlik sağlar.
