Volt Typhoon (Bronz Silhouette) olarak bilinen Çin devlet destekli Apt Hacking grubu, yüksek değerli hedeflerde Soho yönlendiricilerine saldırmak için en az 2022'den beri kullandığı 'KV-Botnet' adlı sofistike bir botnet ile bağlantılıdır.
Volt Typhoon genellikle yönlendiricileri, güvenlik duvarlarını ve VPN cihazlarını kötü amaçlı trafiği vekalet eder, böylece tespit edilmemek için meşru trafikle harmanlanır.
Microsoft ve ABD hükümeti tarafından yapılan ortak bir rapor, saldırganların ABD'deki iletişim altyapısını bozmak için kullanılabilecek altyapı oluşturduğunu değerlendiriyor.
Microsoft, "Microsoft, bu Volt Typhoon kampanyasının gelecekteki krizler sırasında ABD ve Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yeteneklerin geliştirilmesini sürdürdüğüne dair ılımlı bir güvenle değerlendiriyor."
Bugün Lumen Technologies'de Black Lotus Labs ekibi tarafından yayınlanan ayrıntılı bir rapor, bir Volt Typhoon kampanyasının Netgear Prosafe Güvenlik Duvarlarını, Cisco RV320'leri, Draytek Vigor yönlendiricilerini ve daha yakın zamanda Eksen IP kameralarını hedeflediğini ortaya koyuyor.
"Kampanya, son yıllarda uzaktan çalışmaya geçiş ile birleştirilen birçok işletmenin savunma dizisinde yumuşak bir nokta olarak ortaya çıkan bir segment olan ağların kenarındaki cihazları enfekte ediyor."
KV-Botnet'in yardımıyla oluşturulan gizli veri transfer ağı, telekomünikasyon ve internet hizmet sağlayıcılarını hedefleyen saldırılarda, Avrupa'da yenilenebilir bir enerji firması olan Guam'da bir ABD bölgesel hükümet varlığı ve ABD askeri kuruluşlarında kullanıldı.
KV-Botnet'in hedefleme kapsamı, casusluk ve bilgi toplama üzerine odaklanıyor, ancak Black Lotus enfeksiyonların çoğunun fırsatçı göründüğünü bildiriyor.
Botnet'in etkinliği Ağustos 2023'ten bu yana ve daha sonra tekrar Kasım 2023'ten bu yana önemli ölçüde artmıştır. En son gözlemlenen saldırı tarihleri 5 Aralık 2023'tür, bu nedenle kötü amaçlı etkinlik devam etmektedir.
Black Lotus, 'KV' ve 'JDY' olarak ayrılan iki aktivite kümesi tanımladı. Birincisi yüksek değerli varlıkları hedefler ve muhtemelen manuel olarak çalıştırılırken, ikincisi daha az karmaşık teknikler kullanarak daha geniş taramaya girer.
BOTNET, sağlam bir güvenlik duruşunu sürdürmeyen Soho (Küçük Ofis, Ev Ofisi) varlıkları tarafından kullanılan yaşam sonu cihazlarını hedefler. Desteklenen mimariler arasında ARM, MIPS, MIPSEL, X86_64, I686, I486 ve I386 bulunur.
Saldırılar başlangıçta Cisco RV320'ler, Draytek Vigor yönlendiricileri ve Netgear Prosafe güvenlik duvarlarına odaklandı, ancak kötü amaçlı yazılımlar daha sonra M1045-LW, M1065-LW ve P1367-E modelleri gibi eksen IP kameraları hedefleyecek şekilde genişletildi.
Volt Typhoon, Bash komut dosyaları (KV.SH) gibi birden fazla dosya içeren, spesifik işlemlerin durdurulması ve enfekte olmuş cihazda çalışan güvenlik araçlarını kaldıran karmaşık bir enfeksiyon zinciriyle uğraşır.
Tespitten kaçınmak için Bot, C2 (komut ve kontrol) sunucusu ile iletişim için rastgele bağlantı noktaları oluşturur ve mevcut süreçlerin adlarını benimseyerek kendini gizler.
Ayrıca, tüm takımlar bellekte bulunur, bu nedenle botun tespit edilmesi zordur, ancak bu yaklaşım tehlikeye atılan cihazlarda devam etme yeteneğini etkilemektedir.
KV-BOTNET'in C2 endişesinden iletişim ayarlarının güncellenmesi, ana bilgisayar bilgilerinin eklenmesi, veri iletiminin gerçekleştirilmesi, ağ bağlantıları oluşturma, ana bilgisayar görevlerini yürütme ve diğerlerini aldığı komutları.
Raporda Black Lotus, "Bitişik LAN'ın hedeflenmesini sağlamak için orijinal ikili içinde herhangi bir önceden oluşturulmuş işlev keşfetmese de, Soho cihazında uzak bir kabuk ortaya çıkarma yeteneği vardı."
"Bu özellik, komutları manuel olarak çalıştırmak veya bitişik LAN'ı hedeflemek için henüz keşfedilmemiş bir ikincil modülü potansiyel olarak almak için kullanılabilirdi."
Black Lotus Labs, IP adreslerinde, benzer taktikler ve Çin standart zamanıyla uyumlu çalışma sürelerinde çakışmalar bulduktan sonra bu botnet'i Volt Typhoon'a bağlar.
KV-Botnet saldırılarında görülen gelişmiş gizleme teknikleri ve gizli veri aktarım kanalları, tünel katmanları kullanma gibi, daha önce belgelenmiş Volt Typhoon taktikleri ile örtüşüyor ve belirli bölgeler ve organizasyon türlerine olan hedef seçimi ve ilgi.
Ayrıca, Lumen'in raporu, KV-Botnet operasyonlarında Mayıs 2023'te CISA tarafından Volt Typhoon faaliyetlerinin halka açıklanmasına denk gelen şüpheli bir düşüşten bahsediyor.
Lumen, GitHub'da, BOTNET ile ilişkili kötü amaçlı yazılım karma ve IP adresleri de dahil olmak üzere GitHub'da uzlaşma göstergeleri yayınladı.
Yeni Aeroblade Hacker'ları ABD'de havacılık sektörünü hedeflemek
Bilgisayar korsanları, ABD hedeflerini geri kapatmak için yeni ajan rakun kötü amaçlı yazılım kullanıyor
Govt Cihazlarında Kanada Bans WeChat ve Kaspersky ürünleri
Fransa, Rus devlet hackerlarının sayısız kritik ağı ihlal ettiğini söylüyor
Yeni nkabuse kötü amaçlı yazılım, gizli comms için nkn blok zincirini kötüye kullanıyor
Kaynak: Bleeping Computer