Çinli Volt Typhoon Hackerları ABD'nin Kritik Altyapısında 5 Yıl Boyunca Fark Edilmeden Çalıştı

ABD hükümeti geçtiğimiz günlerde , Volt Typhoon olarak tanımlanan , Çin devleti destekli sofistike bir bilgisayar korsanlığı grubunun, şaşırtıcı bir beş yıl boyunca tespit edilmeden ABD ve Guam'daki kritik altyapı ağlarına sızmayı başardığını açıkladı. Volt Typhoon'un hedef aldığı bu kritik sistemler; iletişim, enerji, ulaşım, su ve atık su yönetimi gibi çeşitli sektörleri kapsıyor.

Volt Typhoon'un faaliyetlerini farklı kılan şey, tipik siber casusluk operasyonlarından farklı olan alışılmadık yaklaşımıdır. ABD'li yetkililere göre grubun taktikleri, BT ağları içinde bir dayanak noktası oluşturmak ve temel işlevleri bozmak amacıyla Operasyonel Teknoloji (OT) varlıklarına doğru manevra yapmalarını sağlamak için önceden tasarlanmış bir çabayı öneriyor.

Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve Federal Soruşturma Bürosu (FBI) tarafından Beş Göz istihbarat ittifakı ülkelerinin desteğiyle yayınlanan ortak tavsiye, durumun ciddiyetini vurguluyor. Alternatif olarak Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda veya Voltzite olarak da bilinen bu hack grubu, en az Haziran 2021'den beri aktif.

Volt Typhoon'un işleyiş tarzı, 'toprakta yaşamak' (LotL) gibi gelişmiş tekniklerin kullanılmasını içerir ve bu da kötü niyetli faaliyetleri meşru ağ davranışıyla harmanlayarak gizlice çalışmalarına olanak tanır. Dahası, saldırılarının kökenlerini gizlemek için KV-botnet gibi çok atlamalı proxy'ler kullanıyorlar ve bu da ilişkilendirmeyi zorlaştırıyor.

Bir siber güvenlik firması olan CrowdStrike, Volt Typhoon'un belirli kurbanlara özel olarak tasarlanmış geniş bir açık kaynak araçları dizisine güvendiğini ve bu durumun yüksek düzeyde gelişmişlik ve stratejik planlama sergilediğini belirtti. Grup, keşifleri titizlikle yürütüyor, taktiklerini hedef ortamlara göre uyarlıyor ve geçerli hesaplar ve güçlü operasyonel güvenlik önlemleri kullanarak kalıcılığı sürdürüyor.

Ana hedeflerinden biri, yanal hareketi ve keşifleri kolaylaştırmak için ayrıcalık yükseltme kusurlarından yararlanarak ağlar içinde yönetici kimlik bilgileri elde etmektir. Uzun vadeli stratejileri, güvenliği ihlal edilmiş ortamlara erişimi sürdürmeyi, tespitten kaçınmak ve yetkisiz erişimleri genişletmek için tekniklerini sürekli olarak geliştirmeyi içerir.

Çalınan kimlik bilgilerine ek olarak Volt Typhoon, kötü amaçlı yazılımların izlerini bırakmaktan kaçınmak, gizliliklerini ve operasyonel güvenliklerini artırmak için LotL tekniklerini kullanır. Güvenliği ihlal edilmiş ortamlardaki eylemlerini gizlemek için hedeflenen günlükleri silecek kadar ileri gidiyorlar, bu da faaliyetlerini ortaya çıkarma çabalarını daha da karmaşık hale getiriyor.

Bu açıklama, Citizen Lab'ın, 30 ülkedeki yerel haber kaynaklarının kimliğine bürünen 123'ten fazla web sitesini içeren, PAPERWALL adlı yaygın bir etki kampanyasına ilişkin bulgularıyla örtüşüyor. Shenzhen Haimaiyunxiang Media Co., Ltd. adlı Pekin merkezli bir halkla ilişkiler firmasıyla bağlantılı olan bu web siteleri, Çin yanlısı içerik yayıyor ve kritik makaleleri yayınlandıktan sonra kaldırıyor.

Washington'daki Çin büyükelçiliği dezenformasyon iddialarını reddederken, bu olaylar Çin'in siber yeteneklerine ilişkin artan endişelerin altını çiziyor ve operasyonları küresel ölçekte etkiliyor.