Devlet destekli bilgisayar korsanları olarak Rusya, İran ve Kuzey Kore adına çalışan hackerlar, yıllardır dünya çapında yıkıcı siber saldırılarla ortalığı kasıp kavurdu, Çin’in askeri ve istihbarat bilgisayar korsanları, izinsiz girişlerini casuslukla sınırlandırma konusundaki itibarlarını büyük ölçüde korudular. Ancak bu siber casuslar Amerika Birleşik Devletleri’ndeki ve özellikle Çin’in eşiğindeki bir ABD bölgesindeki kritik altyapıyı ihlal ettiğinde, casusluk, ihtilaf acil durum planlaması ve siber savaşın tırmandırılması tehlikeli bir şekilde benzer görünmeye başlar.
Çarşamba günü, Microsoft bir blog gönderisinde ortaya çıktı 2021’den beri ABD eyaletleri ve Guam’daki iletişim, üretim, kamu hizmetleri, inşaat ve ulaşım dahil olmak üzere kritik altyapı sistemlerini hedef alan geniş bir bilgisayar korsanlığı kampanyası yürüten Çinli devlet destekli bilgisayar korsanlarından oluşan bir grubu izlediğini söyledi. .
Microsoft’un Volt Typhoon adını verdiği grubun amacı, bu kritik ağlara erişimini veri imhası veya diğer saldırgan saldırılar gerçekleştirmek için kullanmadığı düşünülürse, basitçe casusluk olabilir. Ancak Microsoft, Çin ile askeri veya diplomatik bir çatışmada kilit rol oynayabilecek Pasifik bölgesi de dahil olmak üzere grubun hedeflemesinin doğasının bu tür bir kesintiye yol açabileceği konusunda uyarıyor.
Şirketin blog gönderisinde, “Gözlemlenen davranış, tehdit aktörünün casusluk gerçekleştirmeyi ve tespit edilmeden erişimi mümkün olduğu kadar uzun süre sürdürmeyi planladığını gösteriyor.” Ancak bu ifadeyi, bilgisayar korsanlarının “gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yetenekler geliştirme peşinde olduklarına” ilişkin “ılımlı bir güvenle” bir değerlendirmeyle birleştiriyor.
Google’ın sahip olduğu siber güvenlik firması Mandiant, grubun izinsiz girişlerinin bir bölümünü de takip ettiğini söylüyor ve grubun kritik altyapıya odaklanması hakkında benzer bir uyarıda bulunuyor “Bir casusluk operasyonundan beklediğimiz fikri mülkiyet veya politika bilgileriyle açık bir bağlantı yok” Mandiant’ta tehdit istihbaratına başkanlık eden John Hultquist diyor. “Bu, orada olup olmadıklarını sorgulamamıza neden oluyor. Çünkü hedefler kritik. Endişemiz, kritik altyapıya odaklanmanın potansiyel yıkıcı veya yıkıcı saldırılara hazırlık olması.”
Microsoft’un blog gönderisi, bilgisayar korsanlarının izinsiz girişlerinin, ağ savunucularının onları tespit edip kovmalarına yardımcı olabilecek teknik ayrıntılarını sunuyordu: Örneğin, grup, bilgisayar korsanlığını başlatmak için saldırıya uğramış yönlendiriciler, güvenlik duvarları ve diğer ağ “uç” cihazlarını kullanıyor; donanım üreticileri ASUS, Cisco, D-Link, Netgear ve Zyxel tarafından satılanları içerir. Grup ayrıca, zararsız gibi görünerek etkinliğinin tespit edilmesini zorlaştırmak için kendi kötü amaçlı yazılımı yerine genellikle meşru kullanıcıların güvenliği ihlal edilmiş hesaplarından sağlanan erişimi kullanır.
Secureworks’te bilgi güvenliği araştırması kıdemli danışmanı Marc Burnard, tespit edilmekten kaçınmak için bir hedefin düzenli ağ trafiğine karışmanın Volt Typhoon ve diğer Çinli aktörlerin son yıllardaki yaklaşımlarının ayırt edici özelliği olduğunu söylüyor. Microsoft ve Mandiant gibi Secureworks de grubu izliyor ve kampanyaları gözlemliyor. Grubun casusluğunu sürdürmek için “adaptasyona amansız bir odaklanma” gösterdiğini de sözlerine ekledi.
Kaynak : https://www.wired.com/story/china-volt-typhoon-hack-us-critical-infrastructure/