Volt taifuun suurendab kriitilise infrastruktuuri vastu suunatud pahatahtlikku tegevust

Hiina toetatud küberspionaažirühmitus Volt Typhoon sihib süstemaatiliselt Cisco pärandseadmeid keeruka ja varjatud kampaania käigus, et arendada oma ründetaristut.

Paljudel juhtudel kasutab kriitilise infrastruktuuri sihtimise poolest tuntud ohutegija ära paari 2019. aastast pärit ruuterite haavatavust, et tungida sihtseadmetesse ja võtta nende üle kontroll.

USA kriitilise infrastruktuuri sektorite sihtimine

SecurityScorecardi ohuluure meeskonna teadlased märkasid seda tegevust, kui tegid järeluuringuid hiljutiste müüjate ja müüjate kohta. ajakirjanduslikud teated Volt Typhoonist, mis tungib USA kriitilise infrastruktuuri organisatsioonidesse ja paneb aluse võimalikele tulevastele häiretele. Rünnakud on sihitud vee-, elektri-, transpordi- ja sidesüsteemide vastu. Rühmituse ohvrite hulgas on USA, Ühendkuningriigi ja Austraalia organisatsioone.

Üks müüja aruannetest, alates Lumen, kirjeldas robotvõrku, mis koosneb väikese kontori/kodukontori (SOHO) ruuterid mida Volt Typhoon ja teised Hiina ohurühmad kasutavad käsu- ja kontrollivõrguna (C2) rünnakutes väärtuslike võrkude vastu. Võrk, mida Lumen aruandes kirjeldas, koosneb peamiselt Cisco, DrayTeki ja vähemal määral Netgeari kasutusea lõpetanud ruuteritest.

SecurityScorecardi teadlased kasutasid Lumeni koos oma aruandega avaldatud kompromissi indikaatoreid (IoC), et näha, kas nad suudavad tuvastada Volt Typhooni kampaaniaga seotud uue infrastruktuuri. The uurimine näitas, et ohurühma tegevus võib olla arvatust ulatuslikum, ütleb SecurityScorecardi personali ohtude uurija Rob Ames.

Näiteks näib, et Volt Typhoon põhjustas 30-päevase perioodi jooksul Cisco RV325/1,116 kasutusea lõppenud ruuterite, mida SecurityScorecard jälgis C320 robotvõrgus, kahjustamise eest kuni 325% ehk 2 37-st. Turvamüüja teadlased jälgisid 1. detsembrist 2023 kuni 7. jaanuarini 2024 korrapäraseid ühendusi ohustatud Cisco seadmete ja teadaoleva Volt Typhooni infrastruktuuri vahel, mis viitab väga aktiivsele tegevusele.

SecurityScorecardi kaevamine näitas ka, et Volt Typhoon juurutas Cisco ruuteritele ja muudele võrguservaseadmetele, mida rühm praegu sihib, seni tundmatu veebikesta fy.sh. Lisaks suutis SecurityScorecard tuvastada mitu uut IP-aadressi, mis näisid olevat seotud Volt Typhooni tegevusega.

"SecurityScorecard kasutas Volt Typhooniga lingitud varem levitatud IoC-sid, et tuvastada meie vaadeldud äsja ohustatud seadmed, varem määratlemata veebileht (fy.sh) ja muud IP-aadressid, mis võivad esindada uusi IoC-sid, " ütleb Ames.

Küberrünnakud väljaspool maad

Volt Typhoon on ohurühm, mis USA küberturvalisuse ja infrastruktuuri agentuur (CISA) on tuvastatud kui riigi toetatud Hiina ohuosaline, mis on suunatud USA kriitilise infrastruktuuri sektoritele. Microsoft2023. aasta mais teatas rühmitusest esimesena, on kirjeldanud, et see on tegutsenud vähemalt 2021. aasta maist, asudes Hiinas ja korraldanud laiaulatuslikku küberspionaaži, kasutades paljusid maaväliseid tehnikaid. Ettevõte on hinnanud, et kontsern arendab suutlikkust häirida USA ja Aasia vahelisi kriitilisi sidevõimalusi võimalike tulevaste konfliktide ajal.

Ames ütleb, et see, et Volt Typhoon kasutab andmeedastuseks ohustatud ruutereid, on üks märk grupi pühendumusest vargsi tegutsemisele.

"Rühm suunab oma liiklust sageli nende seadmete kaudu, et vältida geograafilist tuvastamist, kui nad sihivad organisatsioone, mis asuvad ohustatud ruuteritega samas piirkonnas, " ütleb ta. "Need organisatsioonid võivad pahatahtlikku tegevust vähem märgata, kui sellega seotud liiklus näib olevat pärit piirkonnast, kus organisatsioon asub."

Haavatamatute kasutuselt kõrvaldatud varustuse kübersihtimine

Ames ütleb, et Volt Typhooni sihtimine kasutuselt kõrvaldatud seadmetele on ka ründaja vaatenurgast väga mõistlik. Cisco RV35 ruuteritega, mida Volt Typhoon on sihikule võtnud, on umbes 9 teadaolevat kriitilist turvaauku, mille raskusaste on CVSS-i skaalal vähemalt 10 punkti 320-st – sealhulgas kaks CISA tuntud ärakasutatud haavatavuste kataloogis. Cisco lõpetas tehnoloogia veaparanduste, hooldusväljaannete ja paranduste väljastamise kolm aastat tagasi, 2021. aasta jaanuaris. Lisaks Cisco seadmetele sisaldab Volt Typhooniga seotud robotvõrk ka ohustatud pärandruutereid DrayTek Vigor ja Netgear ProSafe.

"Seadmete endi vaatenurgast on need madalal rippuvad viljad, " ütleb Ames. "Kuna kasutusea lõpp tähendab, et seadmete tootjad ei väljasta enam nende jaoks värskendusi, jäetakse neid mõjutavad haavatavused tõenäoliselt kõrvaldamata, jättes seadmed vastuvõtlikuks."

Critical Starti küberohtude uurimise vanemjuht Callie Guenther ütleb, et Volt Typhooni strateegiline sihtimine kasutusea lõpetanud Cisco ruuteritele, kohandatud tööriistade (nt fy.sh) arendamine ning geograafiline ja sektoripõhine sihtimine viitavad väga keerukale tegevusele.

"Pärandsüsteemidele keskendumine ei ole ohus osalejate seas levinud taktika, peamiselt seetõttu, et see nõuab spetsiifilisi teadmisi vanemate süsteemide ja nende haavatavuste kohta, mis ei pruugi olla laialdaselt teada ega dokumenteeritud," ütleb Guenther. "Kuid see on kasvav trend, eriti riiklikult toetatud osalejate seas, kellel on ressursse ja motivatsiooni ulatusliku luure läbiviimiseks ja kohandatud rünnakute väljatöötamiseks."

Näidetena toob ta välja mitmed ohustajad, kes sihivad nn Ripple20 haavatavused TCP/IP-virnas, mis mõjutas miljoneid IoT pärandseadmeid, aga ka Hiina ja Iraani ohurühmi, mis sihivad vanemate VPN-toodete vigu.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure