.png)
Çinli Bilgisayar Korsanları, Yarım On Yıl Boyunca ABD'nin Kritik Altyapısında Tespit Edilmeden Çalışıyor
ABD hükümeti Çarşamba günü yaptığı açıklamada, Volt Typhoon olarak bilinen Çin devlet destekli bilgisayar korsanlığı grubunun en az beş yıldır ülkedeki bazı kritik altyapı ağlarına yerleştirildiğini söyledi.
Tehdit aktörünün hedefleri arasında ABD ve Guam'daki iletişim, enerji, ulaşım ve su ve atık su sistemleri sektörleri yer alıyor.
ABD hükümeti, "Volt Typhoon'un hedef seçimi ve davranış modeli, geleneksel siber casusluk veya istihbarat toplama operasyonlarıyla tutarlı değil ve ABD yazarlık kurumları, Volt Typhoon aktörlerinin OT varlıklarına yanal hareketi sağlamak için kendilerini BT ağlarında önceden konumlandırdıklarını yüksek bir güvenle değerlendiriyor" dedi.
Buradaki fikir, ülke ile büyük bir kriz veya çatışma durumunda ABD'nin kritik altyapısına yönelik yıkıcı veya yıkıcı siber saldırılar için zaman içinde kalıcılığı koruyarak ve hedef ortamı anlayarak kendilerini BT ağlarında önceden konumlandırmaktır.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Federal Soruşturma Bürosu (FBI) tarafından yayınlanan ortak danışma belgesi, Avustralya, Kanada, Yeni Zelanda ve İngiltere'den oluşan Beş Göz (FVEY) istihbarat ittifakının bir parçası olan diğer ülkeler tarafından da desteklendi.
Bronz Siluet, Sinsi Boğa, UNC3236, Vanguard Panda veya Voltzite olarak da adlandırılan Volt Typhoon, Haziran 2021'den beri aktif olduğuna inanılan Çin merkezli gizli bir siber casusluk grubudur.
İlk olarak Mayıs 2023'te FVEY ve Microsoft'un, bilgisayar korsanlığı ekibinin ABD ve Guam'daki kritik altyapı kuruluşlarında uzun süreler boyunca kalıcı bir dayanak oluşturmayı başardığını ve esas olarak karada yaşama (LotL) tekniklerinden yararlanarak tespit edilmediğini ortaya çıkarmasıyla ortaya çıktı.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), "'Karadan yaşamak' olarak bilinen bu tür bir ticaret, saldırganların gizlice çalışmasına izin veriyor ve kötü niyetli faaliyetlerin meşru sistem ve ağ davranışlarıyla harmanlanarak ayırt edilmesini zorlaştırıyor - daha olgun güvenlik duruşlarına sahip kuruluşlar tarafından bile" dedi.
Volt Typhoon tarafından benimsenen bir diğer ayırt edici taktik, kötü niyetli trafiği, gerçek kökenlerini maskelemek için ABD'deki güvenliği ihlal edilmiş yönlendiriciler ve güvenlik duvarlarından oluşan bir ağ üzerinden yönlendirmek için KV-botnet gibi çok sekmeli proxy'lerin kullanılmasıdır.
Siber güvenlik firması CrowdStrike, Haziran 2023'te yayınlanan bir raporda, stratejik hedeflerine ulaşmak için dar bir kurban grubuna karşı kapsamlı bir açık kaynak araç cephaneliğine güvendiğini belirtti.
"Volt Typhoon aktörleri, hedef kuruluş ve çevresi hakkında bilgi edinmek için kapsamlı sömürü öncesi keşif yürütüyor; taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) mağdurun çevresine göre uyarlamak; ve devam eden kaynakları, ilk uzlaşmadan sonra bile zaman içinde kalıcılığı sürdürmeye ve hedef ortamı anlamaya ayırın" dedi.
.jpg)
"Grup ayrıca geçerli hesaplara güveniyor ve güçlü operasyonel güvenlikten yararlanıyor, bu da bir araya geldiğinde uzun vadeli keşfedilmemiş kalıcılığa izin veriyor."
Ayrıca, ulus devletin, ayrıcalık yükseltme kusurlarından yararlanarak ağ içinde yönetici kimlik bilgilerini elde etmeye çalıştığı ve ardından yanal hareketi, keşfi ve tam etki alanı uzlaşmasını kolaylaştırmak için yükseltilmiş erişimden yararlandığı gözlemlenmiştir.
Kampanyanın nihai amacı, güvenliği ihlal edilmiş ortamlara erişimi korumak ve yetkisiz erişimlerini doğrulamak ve genişletmek için yıllar içinde "metodik olarak" yeniden hedeflemektir. Ajanslara göre bu titiz yaklaşım, mevcut ve geçerli hesaplara erişim sağlamak için alan adı kimlik bilgilerini defalarca sızdırdıkları durumlarda kanıtlanmıştır.
CISA, FBI ve NSA, "Çalınan hesap kimlik bilgilerinden yararlanmanın yanı sıra, aktörler LOTL tekniklerini kullanıyor ve sistemlerde uyarılara neden olacak kötü amaçlı yazılım eserleri bırakmaktan kaçınıyor" dedi.
"Gizli ve operasyonel güvenliğe güçlü bir şekilde odaklanmaları, uzun vadeli, keşfedilmemiş kalıcılığı sürdürmelerine olanak tanıyor. Ayrıca, Volt Typhoon'un operasyonel güvenliği, güvenliği ihlal edilmiş ortamdaki eylemlerini gizlemek için hedefli günlük silme ile artırıldı."
Gelişme, Citizen Lab'in Avrupa, Asya ve Latin Amerika'daki 30 ülkeyi kapsayan yerel haber kuruluşlarını taklit eden en az 123 web sitesinden oluşan bir ağı ortaya çıkarmasıyla geldi.
Etki operasyonunu PAPERWALL olarak adlandıran Toronto merkezli dijital bekçi, farklı operatörler ve benzersiz TTP'lerle de olsa HaiEnergy ile benzerlikler paylaştığını söyledi.
Citizen Lab, "PAPERWALL'un web siteleri ağında gözlemlenen merkezi bir özelliği, Pekin'in eleştirmenlerine saldıran makalelerin yayınlandıktan bir süre sonra bu web sitelerinden rutin olarak kaldırıldığı en agresif bileşenlerinin geçici doğasıdır" dedi.
Çin'in Washington Büyükelçiliği sözcüsü, Reuters ile paylaşılan bir açıklamada, "Çin yanlısı içeriklerin ve raporların 'dezenformasyon' olduğunu iddia etmek ve Çin karşıtı olanları 'gerçek bilgi' olarak adlandırmak tipik bir önyargı ve çifte standarttır" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı