ABD hükümeti, tehdit aktörü Volt Typhoon'un ABD ve diğer ülkelerdeki kritik altyapılara saldırmak için kullandığı botnet'ini kesintiye uğrattığını duyurdu.
Aralık 2023'te Amerikan yargısı tarafından yetkilendirilen bir operasyon, Çin Halk Cumhuriyeti'ndeki (PRC) devlet destekli bilgisayar korsanları tarafından ele geçirilen yüzlerce ABD merkezli küçük ofis/ev ofisi (SOHO) yönlendiricisinden oluşan bir botnet'i yok etti.
Volt Typhoon kritik altyapıya saldırdı
Özel sektörde "Volt Typhoon" olarak bilinen bilgisayar korsanları, Çin'i gizlemek amacıyla ABD'ye ve Halk Cumhuriyeti'ndeki diğer yabancı kurbanlara yönelik ek bilgisayar korsanlığı faaliyetlerinin kökenini bulmak için "KV Botnet" kötü amaçlı yazılımı bulaşmış özel SOHO yönlendiricilerini kullandı. Bu ek hackleme faaliyetleri, Amerika Birleşik Devletleri'ndeki ve dünyanın başka yerlerindeki kritik altyapı kuruluşlarına karşı bir kampanyayı da içeriyordu. Mayıs 2023'te bu saldırılar FBI, Ulusal Güvenlik Ajansı, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve yabancı ortakların bildirimine konu oldu. Aynı faaliyet, Mayıs ve Aralık 2023'te özel sektör ortaklarına yapılan tavsiyelerin yanı sıra bugün CISA tarafından yayınlanan ek bir Tasarımla Güvenli uyarısına da konu oldu.
FBI'ın Houston Saha Ofisi'nden Sorumlu Özel Ajan Douglas Williams, "FBI'nın KV botnet'ini ortadan kaldırması, FBI'ın ülkemizin kritik altyapısını siber saldırılardan korumak için kararlı adımlar atacağına dair açık bir işarettir" dedi. "Ev ve küçük işletme yönlendiricilerinin kullanım ömrü sonunda değiştirilmesini sağlayarak sıradan vatandaşlar hem kişisel siber güvenliklerini hem de ABD'nin dijital güvenliğini koruyabilirler."
Google Mandiant'tan yorum
“Volt Typhoon, su arıtma tesisleri, elektrik şebekeleri vb. gibi kritik altyapıyı (KTITIS) hedeflemeye odaklanıyor. Aktör, radarın altından uçarak, ağlardaki faaliyetlerini takip etmemize olanak tanıyan izleri azaltmak için çok çalışıyor. Grup, normal ağ faaliyetlerine gizlice erişim sağlamak için güvenliği ihlal edilmiş sistemler kullanıyor ve faaliyetinin kaynağını sürekli olarak değiştiriyor. Alarm oluşturabileceği ve bize somut bir şeyler verebileceği için kötü amaçlı yazılım kullanmaktan kaçınır. Bu tür faaliyetleri takip etmek son derece zordur ancak imkansız değildir. Mandiant ve Google, müşteriler ve iş ortaklarıyla yakın işbirliği içinde çalışarak rekabette önde olmaya odaklanıyor.
Rusya da boşluk arıyor
Bu, kritik ABD altyapısına bu şekilde yapılan ilk saldırı değil. Pek çok kez, benzer operasyonların ortasında Rus istihbarat aktörleri keşfedildi ve bu operasyonlar sonunda açığa çıktı. Bu tür operasyonlar tehlikeli ve zorludur ancak imkansız değildir.
Volt Typhoon'un amacı fark edilmeden olası bir duruma hazırlık yapmaktı. Neyse ki Volt Typhoon gözden kaçmadı ve av zorlu olsa da istihbarat toplamayı geliştirmek ve bu aktörü engellemek için uyum sağlıyoruz. Hareketlerini tahmin ediyoruz, onları nasıl tanımlayacağımızı biliyoruz ve en önemlisi hedefledikleri ağları nasıl güçlendireceğimizi biliyoruz." – Sandra Joyce, Başkan Yardımcısı, Mandiant Intelligence – Google Cloud.
Daha fazlası Justice.gov'da