ABD Federalleri, SOHO Yönlendiricilerini Hedefleyen Çin Bağlantılı

KV-botnet olarak adlandırılan botnet'in varlığı ilk olarak Aralık 2023'ün ortalarında Lumen Technologies'deki Black Lotus Labs ekibi tarafından açıklandı. Kolluk kuvvetlerinin çabası bu hafta başlarında Reuters tarafından bildirildi.

"KV-botnet'i oluşturan yönlendiricilerin büyük çoğunluğu, 'kullanım ömrü sonu' durumuna ulaştıkları için savunmasız olan Cisco ve NetGear yönlendiricileriydi; yani, üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla artık desteklenmiyorlardı, "dedi Adalet Bakanlığı (DoJ) bir basın açıklamasında.

Volt Typhoon (diğer adıyla DEV-0391, Bronz Siluet, Sinsi Boğa veya Vanguard Panda), ABD ve Guam'daki kritik altyapı sektörlerini hedef alan siber saldırılara atfedilen Çin merkezli bir düşman topluluğuna verilen takma addır.

CISA Direktörü Jen Easterly, "'Volt Typhoon' olarak bilinen bir grup da dahil olmak üzere Çinli siber aktörler, ABD ile büyük bir kriz veya çatışma durumunda yıkıcı siber saldırılar başlatmaya hazır olmak için kritik altyapımızın derinliklerine iniyor" dedi.

2021'den beri aktif olduğuna inanılan siber casusluk grubu, radarın altında uçmak ve hassas bilgileri toplamak için kurban ortamlarında uzun süre kalmak için meşru araçlara ve karadan uzakta yaşama (LotL) tekniklerine güvenmesiyle biliniyor.

Çalışma tarzının bir diğer önemli yönü, kökenlerini gizlemek amacıyla trafiği yönlendiriciler, güvenlik duvarları ve VPN donanımı dahil olmak üzere güvenliği ihlal edilmiş SOHO ağ ekipmanı üzerinden yönlendirerek normal ağ etkinliğine uyum sağlamaya çalışmasıdır.

Bu, gelişmiş kalıcı tehdit aktörleri için gizli bir veri aktarım ağı olarak kullanılmak üzere Cisco, DrayTek, Fortinet ve NETGEAR cihazlarına komuta eden KV-botnet aracılığıyla gerçekleştirilir. Botnet operatörlerinin hizmetlerini Volt Typhoon da dahil olmak üzere diğer bilgisayar korsanlığı ekiplerine sunduğundan şüpheleniliyor.

Ocak 2024'te siber güvenlik firması SecurityScorecard'ın bir raporu, botnet'in 1 Aralık 2023'ten 7 Ocak 2024'e kadar 37 günlük bir süre boyunca kullanım ömrü sona eren Cisco RV320/325 yönlendiricilerinin %30'unu veya 1.116'dan 325'ini tehlikeye atmaktan nasıl sorumlu olduğunu ortaya koydu.

"Volt Typhoon, KV-botnet'in en az bir kullanıcısıdır ve [...] Lumen Black Lotus Labs, bu botnet'in operasyonel altyapılarının bir alt kümesini kapsadığını söyledi ve botnet'in "en az Şubat 2022'den beri aktif olduğunu" da sözlerine ekledi.

Şirket, KV-botnet'in ayrı ayrı işletildiğini, arkasındaki tehdit aktörlerinin kendi keşif ve hedeflemelerini gerçekleştirirken aynı zamanda Volt Typhoon gibi birden fazla grubu desteklediğini söyledi.

Botnet ayrıca, savunmasız yönlendiricilere bir sanal özel ağ (VPN) modülü indirmek ve botnet'i kontrol etmek ve operasyonel hedeflerine ulaşmak için bir aracı röle düğümü olarak kullanmak için doğrudan şifreli bir iletişim kanalı kurmak için tasarlanmıştır.

ABD Federal Soruşturma Bürosu (FBI) tarafından dosyalanan yeminli ifadelere göre, "KV-botnet'in bir işlevi, virüslü SOHO yönlendiricileri arasında şifreli trafik iletmek ve bilgisayar korsanlarının faaliyetlerini anonimleştirmelerine izin vermektir.

Ajans, botnet'i bozma çabalarının bir parçası olarak, KV-botnet yükünü silmek ve yeniden enfekte olmalarını önlemek için kötü amaçlı yazılımın iletişim protokollerini kullanarak ABD'deki yönlendiricileri hedeflemek için uzaktan komutlar verdiğini söyledi. FBI, iletişim bilgileri mevcut değilse her kurbanı doğrudan veya internet servis sağlayıcıları aracılığıyla operasyon hakkında bilgilendirdiğini söyledi.

Adalet Bakanlığı, "Mahkeme tarafından yetkilendirilen operasyon, KV-botnet kötü amaçlı yazılımını yönlendiricilerden sildi ve botnet'i kontrol etmek için kullanılan diğer cihazlarla iletişimi engellemek gibi botnet'le bağlantılarını kesmek için ek adımlar attı" diye ekledi.

Burada, yönlendiricileri botnet'ten kaldırmak için kullanılan belirtilmemiş önleme önlemlerinin geçici olduğunu ve yeniden başlatmaya dayanamayacağını belirtmek önemlidir. Başka bir deyişle, cihazları yeniden başlatmak, onları yeniden enfeksiyona duyarlı hale getirecektir.

FBI Direktörü Christopher Wray, "Volt Typhoon kötü amaçlı yazılımı, Çin'in diğer şeylerin yanı sıra, iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapıya karşı operasyon öncesi keşif ve ağ sömürüsünü gizlemesini sağladı - başka bir deyişle, Çin'in bizi güvende ve müreffeh tutan sivil kritik altyapıyı bulmak ve yok etmek veya bozmaya hazırlanmak için attığı adımlar" dedi.

Ancak Çin hükümeti, Reuters ile paylaşılan bir açıklamada, saldırılara herhangi bir katılımı reddetti, bunu bir "dezenformasyon kampanyası" olarak reddetti ve "bilgisayar korsanlığı saldırılarına ve bilgi teknolojisinin kötüye kullanılmasına karşı çıkmada kategorik olduğunu" söyledi.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), yayından kaldırma işlemiyle aynı zamana denk gelen yeni bir kılavuz yayınladı ve SOHO cihaz üreticilerini geliştirme sırasında tasarım gereği güvenli bir yaklaşım benimsemeye ve yükü müşterilerden uzaklaştırmaya çağırdı.

Özellikle, üreticilerin SOHO yönlendirici web yönetimi arabirimlerindeki istismar edilebilir kusurları ortadan kaldırmalarını ve otomatik güncelleme özelliklerini desteklemek için varsayılan cihaz yapılandırmalarını değiştirmelerini ve güvenlik ayarlarını kaldırmak için manuel geçersiz kılmayı gerektirmelerini önerir.

Rusya ve Çin tarafından gerçekleştirilen gelişmiş kalıcı saldırılarda kullanılmak üzere yönlendiriciler gibi uç cihazların güvenliğinin ihlal edilmesi, eski cihazların artık güvenlik yamaları almaması ve uç nokta algılama ve yanıt (EDR) çözümlerini desteklememesi gerçeğiyle birleşen büyüyen bir sorunu vurgulamaktadır.

CISA, "Uygun güvenlik kontrollerinden yoksun ürünlerin oluşturulması, mevcut tehdit ortamı göz önüne alındığında kabul edilemez" dedi. "Bu dava, tasarım uygulamalarına göre güvenlik eksikliğinin hem müşterilere hem de bu durumda ulusumuzun kritik altyapısına gerçek dünyada nasıl zarar verebileceğini örneklemektedir."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği