Microsoft, Volt Typhoon'un ABD'de en azından 2021'in ortalarından beri birden fazla askeri üs barındıran bir ada olan Guam da dahil olmak üzere kritik altyapı organizasyonlarını hedeflediği için izlediği bir Çin siber başlık grubunun izlediğini söyledi.
Hedefleri ve ihlal edilmiş varlıkları, hükümet, denizcilik, iletişim, imalat, bilgi teknolojisi, kamu hizmetleri, ulaşım, inşaat ve eğitim dahil olmak üzere çok çeşitli kritik sektörleri kapsamaktadır.
Microsoft Tehdit İstihbarat Ekibi, "Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında ABD ve Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yeteneklerin geliştirilmesini sürdürdüğüne dair ılımlı bir güvenle değerlendiriyor." Dedi.
İlk saldırı vektörü, bilinmeyen bir sıfır gün kırılganlığından yararlanarak internete maruz kalan Fortinet Fordiguard cihazlarının uzlaşmasıdır.
Hedeflerin ağlarını ihlal ettikten sonra, Microsoft'un öğütsel aktivite ve PowerShell, Certutil, Netsh, LOLBIN'ler (lolbins) ile "arazi yaşamı" saldırıları olarak tanımladığı şeyi başlatırlar. ve Windows Management Enstrümantasyon Komut Satırı (WMIC).
Bununla birlikte, FBI, NSA, CISA ve Five Eyes tarafından bugün yayınlanan ortak bir danışmanlığa göre, Fast Ters Proxy (FRP), Mimikatz kimlik bilgisi çalma aracı ve Impacket Networking çerçevesi gibi açık kaynaklı araçlar kullanılarak görüldü. Ortaklar Avustralya, Yeni Zelanda, İngiltere ve Kanada'dan siber güvenlik ajansları.
Kötü niyetli etkinliklerinin kaçamak için meşru ağ trafiğiyle karışmasını sağlamak için Volt Typhoon, ASUS, Cisco, D-Link, Netgear, Fatpipe ve Zyxel'den tehlikeye atılmış küçük ofis ve ev ofis (SOHO) ağ ekipmanlarını kullanır. ve VPN aletleri.
Fortinet cihazlarından ödün verdikten sonra elde edilen ayrıcalıklı erişimden yararlanmak, devlet bilgisayar korsanlarının yerel güvenlik otoritesi alt sistemi hizmeti (LSASS) aracılığıyla kimlik bilgilerini dökmesine izin verir.
Çalıntı kimlik bilgileri, hacklenen sistemlerde veri açığa çıkması ve kalıcılık için Awen tabanlı web kabuklarını dağıtmalarına izin verir.
Maniant istihbarat baş analisti John Hultquist'in BleepingComputer'a söylediği gibi, ABD kritik altyapısına yapılan bu müdahaleler, Çin'e iki ülke arasında gelecekteki bir çatışma durumunda erişim sağlamak için uyumlu bir çabanın bir parçası.
Hultquist, "Oyuncuların kritik altyapı hedeflemesinin çeşitli nedenleri var, ancak bu sektörlere sürekli odaklanma, yıkıcı veya yıkıcı siber saldırıya hazırlık gösterebilir." Dedi.
"Devletler, olası çatışmaya hazırlanmak için uzun vadeli müdahaleleri kritik altyapıya gerçekleştirir, çünkü çatışma ortaya çıktığında erişim elde etmek için çok geç olabilir. Benzer olasılık müdahaleleri düzenli olarak devletler tarafından yürütülmektedir.
"Son on yılda, Rusya, hemen yürürlüğe girecek şekilde tasarlandığına inanmadığımız operasyonlarda çeşitli kritik altyapı sektörlerini hedef aldı. Çin geçmişte de petrol ve gaz sektörünü hedefleyen de aynı şeyi yaptı. Bu operasyonlar agresif ve potansiyel olarak Tehlikeli, ama saldırıların yaklaştığını göstermezler. "
Microsoft, Nation-State Actor etkinliğini ele almak için standart prosedürleri doğrultusunda, bu saldırılarda hedeflenen veya tehlikeye atılan tüm müşterilere, ağlarını gelecekteki hack denemelerinden korumak için gereken bilgileri sağlamak için proaktif olarak ulaştığını söylüyor.
Microsoft: ABD Orgs'taki misilleme siber saldırılarının arkasındaki İranlı Bilgisayar korsanları
Kritik altyapı, 3CX ihlalinin arkasındaki tedarik zinciri saldırısından da etkileniyor
Microsoft 365 kimlik avı saldırıları şifreli RPMSG mesajları kullanıyor
Windows 11 Moment 3 KB5026446 güncellemesi ile yayınlandı, nasıl etkinleştirilir
Microsoft Windows 11 ‘Moment 3’ güncellemesini duyurdu, işte yeni özellikler
Kaynak: Bleeping Computer