Site icon TechInside
%%title%% %%page%%

ASUS, Cisco, Netgear Çin’in hack kampanyasının hedefinde

Beş Göz (Five Eyes) danışmanlık, kritik ulusal altyapının devlet destekli hackerların sürekli denemelerinin hedefi haline geldiğini belirtiyor. Dünya genelindeki kuruluşlar, ofis ağ cihazlarını hedef alan ve kritik ulusal altyapı (KUA) varlıklarını hedefleyen devam eden bir hackleme kampanyasında dikkatli olmaları konusunda uyarıldı.

Microsoft’un bu hafta yayımlanan araştırması, genellikle casusluk ve istihbarat toplama üzerine odaklanan Çin devlet destekli Volt Typhoon adlı bir grup tarafından gerçekleştirilen saldırıların özellikle KUA kuruluşlarını hedef aldığını ortaya koydu.

Microsoft, Volt Typhoon’un “neredeyse tamamen” yaşam-alanı (LOTL) tekniklerine ve aktif müdahaleye dayandığını belirtti.

LOTL saldırıları genellikle saldırganların bir kurbanın sistemini ele geçirerek hedeflerine ulaşmak için zaten kurulu olan sistemleri ve araçları kullandıkları, kendi kodlarını veya kötü amaçlı yazılım yüklerini yürütmedikleri saldırılar olarak biliniyor.

Microsoft, Beş Göz (Five Eyes) soruşturmasına yardımcı olan ve bu kampanyada güvenliği büyük önem veren bir tehdit aktörünün bulunduğunu belirtti.

Microsoft, “Komut satırı aracılığıyla komutlar vererek (1) yerel ve ağ sistemlerinden kimlik bilgileri de dahil olmak üzere veri toplamak, (2) veriyi bir arşiv dosyasına yerleştirerek dışarıya çıkarmak için hazırlamak ve ardından (3) çalınan geçerli kimlik bilgilerini kullanarak sürekliliği sağlamak” dedi.

Volt Typhoon kampanyası kapsamında, saldırıların normal ağ etkinliğine karışmak için etkilenmiş küçük ofis ve ev ofisi (SOHO) ağ ekipmanları aracılığıyla yönlendirildiği gözlemlendi. Bu, yönlendiriciler, güvenlik duvarları ve VPN donanımlarını içerir.

Microsoft ve Five Eyes, ASUS, Cisco, D-Link, Netgear ve Zyxel gibi birçok cihazın risk altında olduğunu doğruladı ve bu cihazlara sahip olan kullanıcıları tehditleri azaltmak için arayüzlerin kamuya açık internete maruz kalmamasını sağlamaları konusunda uyardı.

Şirket, bir blog yayınında, ağ kenarı cihazlarının sahiplerinin yönetim arayüzlerini kamuya açık internete maruz bırakmamaları gerektiğini belirtti. Bu şekilde saldırı yüzeyini azaltmayı amaçladıklarını söyledi.

“Volt Typhoon gibi tehdit aktörleri, bu cihazlar aracılığıyla işlemlerini gerçekleştirerek operasyonlarının gizliliğini artırıyor ve altyapı edinme maliyetlerini düşürüyor.”

Secureworks’ün bilgi güvenliği araştırmalarında kıdemli danışmanı Marc Burnard, Volt Typhoon gibi tehdit aktörlerinin ağ cihazlarını hedef alma taktiğinin yaygın olarak kullanıldığını ve bu grubun ‘Bronze Silhouette’ olarak da takip edildiğini belirtti.

Bu, grup için ağ trafiğine “karışarak” ve cezasızlıkla arka planda faaliyet gösterme imkanı sağlar ve böylece daha güçlü bir etki alanı kazanır ve ek varlıkları tehlikeye atar.

“Kendi gözlemlerimize dayanarak, grup tarafından operasyonel güvenlik konusunda tutarlı bir odaklanma olduğunu gözlemliyoruz, bu da minimal bir müdahale izi, savunma kaçınma teknikleri ve kompromize edilmiş altyapı kullanımını içerir,” dedi.

Burnard, bu taktiklerin grubun “operasyonel olgunluğunu ve bir modus operandiye uyumu” vurguladığını, özellikle fark edilme olasılığını azaltmaya odaklandığını belirtti

Beş Göz, Çin’in hacking tehdidine yanıt veriyor

Volt Typhoon kampanyası, Beş Göz güvenlik ajanslarını, kritik altyapı organizasyonlarına yönelik acil bir uyarı yayınlamaya teşvik etmiştir. İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), ABD, Kanada, Avustralya ve Yeni Zelanda’nın ilgili otoriteleriyle birlikte ortak bir açıklama yaparak devam eden saldırılara karşı artan dikkat çağrısında bulundu.

NCSC’nin operasyon direktörü Paul Chichester, kritik ulusal altyapı operatörlerinin saldırganların sistemlerde gizlenmesini önlemek için harekete geçmelerinin hayati önem taşıdığını belirti.

Chichester, İngiltere’deki önemli hizmet sağlayıcılarının bu kötü niyetli faaliyetleri tespit etmek ve sürekli bir tehdidi önlemek için NCSC rehberlerini takip etmelerini şiddetle tavsiye etmekte. Microsoft’a göre, Volt Typhoon kampanyasının amacı, ABD ve Çin arasındaki gerilimlerin arttığı bir dönemde daha geniş bir jeopolitik hedef bulunmakta.

Grubun 2021 yılından bu yana faaliyette olduğu ve Amerika Birleşik Devletleri ile Pasifik’teki ABD askeri faaliyetleri için önemli bir nokta olan Guam’daki kritik altyapı organizasyonlarını hedef aldığı belirti.

Microsoft, Volt Typhoon kampanyasının gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını engelleyebilecek yeteneklerin geliştirilmesini hedeflediğini orta düzeyde güvenle değerlendirmekte.

Exit mobile version