Telekomünikasyon ağları, enerji altyapısı ve ulaşım gibi kritik altyapılara yönelik saldırılar, istihbarat servislerini, donanım ve yazılım üreticilerini meşgul ediyor. “Volt Typhoon” olarak adlandırılan grubun öncelikle ABD altyapısını hedef aldığı, küçük işletmeler ve tüketicilere yönelik uygulamalar aracılığıyla ağlara erişim sağladığı söyleniyor. Federal Bilgi Güvenliği Ofisi (BSI) endişe için neden görüyor – ancak yeni bir tehlike yok.
BSI harekete geçmek için doğrudan bir neden görmüyor
Microsoft, orta olasılıkla saldırıların faili olarak hükümet yanlısı bir Çinli grubu iş başında görüyor. Microsoft, saldırganların öncelikle bilgisayarlardaki ve web uygulamalarındaki verileri dinlemeyi hedeflediklerini açıkladı. Yazılım üreticisi, aslında saldırılara karşı koruma sağlaması gereken Fortinet Fortigate çözümlerini bir ağ geçidi olarak tanımlıyor. Ancak şirket içi uzmanlar, grubun buna tam olarak nasıl eriştiğini hâlâ araştırıyor. Ancak, Fortinet ürünlerinin haklarının Active Directory kullanıcıları olarak yapılandırılmasının, saldırganların daha sonra ele geçirilen ağlarda nasıl ilerleyeceği konusunda önemli bir rol oynadığı açık görünüyor.
BSI, öğrenilen ayrıntılar sonucunda harekete geçmek için doğrudan bir neden görmüyor: “BSI açısından, açıklanan prosedür yeni bir saldırı vektörü türü değil” diye sorulduğunda bir sözcü açıklıyor. “Güvenlik duvarları gibi dışarıdan ulaşılabilen savunmasız cihazlar, giderek artan bir şekilde siber saldırıların hedefi oluyor.” Ancak şirketler, BSI’nın tavsiyelerine tutarlı bir şekilde bağlı kalmalıdır. Bonn yetkilisi, 2022 yönetim raporunda belirtildiği gibi, internette “nispeten zayıf korunan” çevre sistemlerine yönelik saldırılara karşı uzun süredir uyarıda bulunuyor.
Microsoft, araştırmasında, Volt Typhoon’un her şeyden önce göze çarpmayan bir şekilde davrandığı sonucuna varıyor çünkü yükseltilmiş ayrıcalıklara sahip grup, genellikle izin verilen standart işlevleri ve sistem araçlarını kullanıyor. Özellikle PowerShell, wmic, ntdsutil ve netsh servisleri önemli rol oynadı.
NSA, istihbarat kurumları ve siber güvenlik kurumlarından gelen uyarılar
NSA ve sözde Beş Göz devletlerinin istihbarat servisleri ve siber güvenlik yetkililerinden net uyarılar geldi. 24 sayfalık bir danışma belgesinde (PDF), yetkililer olası saldırıları tespit etmek ve azaltmak için önerilerde bulunur. Erişim başarılı olursa, saldırganların İnternet’ten HTTP veya SSH yönetici erişimi yoluyla giden trafik için proxy olarak Asus, Cisco, D-Link, Netgear ve Zyxel ürünleri de dahil olmak üzere yönlendiricileri ve diğer ağ cihazlarını kullandıkları söyleniyor. bulanıklığı izlemek için.
Çinli grubun saldırıları, siyasi ve zamansal bağlamda özellikle siyasi olarak patlayıcıdır: İlk kez, ABD’nin Çin yüksek irtifa balonlarını durdurduğu sıralarda keşfedildiği söyleniyor – ABD’ye göre, muhtemelen casus. balonlar – ABD hava sahası üzerinde. Ayrıca, saldırı girişimlerinin bir odağının, ABD Hava Kuvvetlerinin Kuzey Pasifik’teki en önemli hava üssü olan Guam adasında olduğu söyleniyor. Askeri altyapıların özel olarak gözetlendiği söyleniyor. Çin dışişleri bakanlığı sözcüsü, “ABD istihbarat servisleri tarafından dezenformasyon” olduğunu söyleyerek iddiaları yalanladı.
(bme)
Haberin Sonu
BSI harekete geçmek için doğrudan bir neden görmüyor
Microsoft, orta olasılıkla saldırıların faili olarak hükümet yanlısı bir Çinli grubu iş başında görüyor. Microsoft, saldırganların öncelikle bilgisayarlardaki ve web uygulamalarındaki verileri dinlemeyi hedeflediklerini açıkladı. Yazılım üreticisi, aslında saldırılara karşı koruma sağlaması gereken Fortinet Fortigate çözümlerini bir ağ geçidi olarak tanımlıyor. Ancak şirket içi uzmanlar, grubun buna tam olarak nasıl eriştiğini hâlâ araştırıyor. Ancak, Fortinet ürünlerinin haklarının Active Directory kullanıcıları olarak yapılandırılmasının, saldırganların daha sonra ele geçirilen ağlarda nasıl ilerleyeceği konusunda önemli bir rol oynadığı açık görünüyor.
BSI, öğrenilen ayrıntılar sonucunda harekete geçmek için doğrudan bir neden görmüyor: “BSI açısından, açıklanan prosedür yeni bir saldırı vektörü türü değil” diye sorulduğunda bir sözcü açıklıyor. “Güvenlik duvarları gibi dışarıdan ulaşılabilen savunmasız cihazlar, giderek artan bir şekilde siber saldırıların hedefi oluyor.” Ancak şirketler, BSI’nın tavsiyelerine tutarlı bir şekilde bağlı kalmalıdır. Bonn yetkilisi, 2022 yönetim raporunda belirtildiği gibi, internette “nispeten zayıf korunan” çevre sistemlerine yönelik saldırılara karşı uzun süredir uyarıda bulunuyor.
Microsoft, araştırmasında, Volt Typhoon’un her şeyden önce göze çarpmayan bir şekilde davrandığı sonucuna varıyor çünkü yükseltilmiş ayrıcalıklara sahip grup, genellikle izin verilen standart işlevleri ve sistem araçlarını kullanıyor. Özellikle PowerShell, wmic, ntdsutil ve netsh servisleri önemli rol oynadı.
NSA, istihbarat kurumları ve siber güvenlik kurumlarından gelen uyarılar
NSA ve sözde Beş Göz devletlerinin istihbarat servisleri ve siber güvenlik yetkililerinden net uyarılar geldi. 24 sayfalık bir danışma belgesinde (PDF), yetkililer olası saldırıları tespit etmek ve azaltmak için önerilerde bulunur. Erişim başarılı olursa, saldırganların İnternet’ten HTTP veya SSH yönetici erişimi yoluyla giden trafik için proxy olarak Asus, Cisco, D-Link, Netgear ve Zyxel ürünleri de dahil olmak üzere yönlendiricileri ve diğer ağ cihazlarını kullandıkları söyleniyor. bulanıklığı izlemek için.
Çinli grubun saldırıları, siyasi ve zamansal bağlamda özellikle siyasi olarak patlayıcıdır: İlk kez, ABD’nin Çin yüksek irtifa balonlarını durdurduğu sıralarda keşfedildiği söyleniyor – ABD’ye göre, muhtemelen casus. balonlar – ABD hava sahası üzerinde. Ayrıca, saldırı girişimlerinin bir odağının, ABD Hava Kuvvetlerinin Kuzey Pasifik’teki en önemli hava üssü olan Guam adasında olduğu söyleniyor. Askeri altyapıların özel olarak gözetlendiği söyleniyor. Çin dışişleri bakanlığı sözcüsü, “ABD istihbarat servisleri tarafından dezenformasyon” olduğunu söyleyerek iddiaları yalanladı.
(bme)
Haberin Sonu