ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Çin destekli Volt Typhoon gelişmiş kalıcı tehdidin (APT) nasıl etkilendiğini ayrıntılarıyla anlatan bir rapor yayınladı. sürekli olarak son derece hassas kritik altyapıyı hedefliyorSiber saldırganların içeri girdikten sonra operasyonel teknoloji (OT) ağlarına yönelmelerine ilişkin yeni bilgiler.
OT ağının endüstriyel kontrol sistemlerinin (ICS) ve denetleyici kontrol ve veri toplama (SCADA) ekipmanlarının fiziksel işlevlerinden sorumlu olduğu göz önüne alındığında, bulgular bu durumu açıkça doğrulamaktadır. devam eden şüphe Çinli hackerların enerjideki kritik fiziksel operasyonları bozmayı amaçladıkları, Su hizmetleribir olay durumunda muhtemelen paniğe ve anlaşmazlığa neden olmak için iletişim ve ulaşım ABD ile Çin arasında kinetik çatışma.
"Volt Typhoon aktörleri, işlevleri kesintiye uğratmak amacıyla OT varlıklarına yanal hareket sağlamak için kendilerini BT ağlarında önceden konumlandırıyorlar." CISA'nın Volt Typhoon tavsiyesi. [Biz] "potansiyel jeopolitik gerilimler ve/veya askeri çatışmalar durumunda bu aktörlerin ağ erişimlerini yıkıcı etkiler için kullanma potansiyelinden endişe duyuyoruz."
Mandiant Intelligence/Google Cloud'un baş analisti John Hultquist'e göre bu, önemli bir dizi açıklama.
"Önceden hedeflemeden oyuncunun sahip olduğu sonucu çıkarabiliyorduk. Kritik altyapıya yoğun ilgi bunun çok az istihbarat değeri vardı” dedi e-postayla gönderilen bir analizde. Ancak CISA raporu, "Volt Typhoon'un, kritik altyapının kalbindeki fiziksel süreçleri çalıştıran son derece hassas sistemler olan OT sistemleri hakkında bilgi topladığını ve hatta bunlara nüfuz ettiğini" gösteriyor. “Doğru koşullar altında OT sistemleri manipüle edilebilir temel hizmetlerin büyük ölçüde kapanmasına neden olabilir, hatta tehlikeli koşullar yaratabilir.”
Hultquist şunu ekledi: "Bu aktörün bu izinsiz girişleri neden gerçekleştirdiği konusunda herhangi bir şüphe varsa, bu açıklama bunu ortadan kaldırmalıdır."
5 Yıl Boyunca Arazide Yaşamak ve Saklanmak
CISA bugün ayrıca Volt Typhoon'un (diğer adıyla Vanguard Panda, Bronze Silhouette, Dev-0391, UNC3236, Voltzite ve Insidious Taurus) ilk on yıl boyunca ABD altyapısında gizlice saklandığını ortaya çıkardı. Microsoft tarafından kamuya duyuruldu sadece geçen yıl.
“Amacı içeri girip hızlı bir şekilde zarar vermek olan fidye yazılımı operatörlerinin aksine, bu ulus devlet operatörü geçerli hesaplardan yararlanıyor ve 'toprakta yaşamak' [LOTL] Panther Lab'ın saha CISO'su Ken Westin, e-postayla gönderilen bir yorumda, "Uzun süre boyunca tespit edilmekten kaçacak teknikler var" dedi. "Bu yöntemler, grubun hedeflerini izlemesine ve kinetik hasara neden olacak bir dayanak sağlamasına olanak tanıyor."
CISA, öncelikle APT'nin "geçerli hesaplara da güvendiğini ve güçlü operasyonel güvenlikten yararlandığını, bunun da uzun vadeli keşfedilmemiş kalıcılığa olanak sağladığını" açıkladı. “Volt Typhoon aktörleri, hedef kuruluş ve çevresi hakkında bilgi edinmek için kapsamlı bir sömürü öncesi keşif gerçekleştiriyor; taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) mağdurun ortamına göre uyarlamak; ve devam eden kaynakları, ilk uzlaşmadan sonra bile zaman içinde kalıcılığı sürdürmek ve hedef ortamı anlamak için ayırın.
Volt Typhoon'un meşru yardımcı programları kullanarak gizli kalma ve normal trafiğe uyum sağlama stratejisi siber suçlarda yeni bir olgu değilgöre, potansiyel hedeflerin kötü amaçlı etkinlikleri aktif olarak taramasını zorlaştırıyor. Kapsamlı LOTL kılavuzu yayınlayan CISA bugün tam da bunu yaptığın için.
Bu arada, bir altyapı güncellemesi, bazı durumlarda maliyetli ve emek yoğun bir forklift değişimi gerektirse de, ters gitmeyebilir.
Westin, "Hedeflenen OT ortamlarının çoğu, sistemlerin güncellenememesi durumunda ihmal veya zorunluluk nedeniyle güncelliğini yitirmiş yazılımları çalıştırmasıyla ünlüdür ve bu da bu tehdidin oluşturduğu riski artırır" dedi.
CISA, endişe verici bir şekilde, tehlikenin ABD'nin ötesine de uzandığını kaydetti. Geçen ay, SecurityScorecard'ın STRIKE ekibi Volt Typhoon ile bağlantılı yeni bir altyapı tespit etti ve bu, APT'nin aynı zamanda Avustralya ve Birleşik Krallık hükümet varlıklarını da hedef aldığını gösterdi. CISA raporu, bu riski Kanada ve Yeni Zelanda'yı da kapsayacak şekilde genişletiyor; bu ABD'li ortakların tümünün altyapısı aynı zamanda ulus devlet aktörlerine karşı da hassas olduğu konusunda uyardı.
CISA'nın tavsiyesi bir olayın hemen ardından geldi hükümetin düzeni bozmaya yönelik eylemi Grubun küçük ofis/ev ofisi (SOHO) yönlendirici botnet'i faaliyetini takip edenleri atın.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/threat-intelligence/china-cyberattackers-disrupt-us-critical-infrastructure
