Kötü Şöhretli Volt Typhoon Hacker Grubu Geri Döndü
Araştırmacılar, 2024’ün başlarında bir kolluk kuvveti operasyonunun hedefi haline gelen Volt Typhoon’un geri döndüğü ve her zamankinden daha güçlü olduğu konusunda uyarıyor.
Volt Typhoon tehdit grubunun işlettiği ve dünya genelindeki kritik ulusal altyapıları hedef alan bir botnet , bu yılın başlarında ciddi şekilde kesintiye uğradıktan sonra yeniden ortaya çıktı.
Çin devletine bağlı tehdit kolektifinin düzenlediği, ABD merkezli yüzlerce küçük ofis/ev ofisi (SOHO) yönlendiricisinden oluşan, tehlikeye atılmış ağ cihazları ağı , bölgedeki kritik ulusal altyapıya saldırmak için kullanıldı.
ABD Adalet Bakanlığı Halkla İlişkiler Ofisi’nin yayınladığı açıklamaya göre, dünya çapında kolluk kuvvetleri Ocak 2024’te gerçekleştirdikleri ortak operasyonla botnet’i hedef aldı ve “KV Botnet’i ülke çapındaki yüzlerce yönlendiriciden temizledi”.
Ancak yeni bir rapordan elde edilen bulgular , grubun kötü amaçlı faaliyetler için yeni bir altyapı kurarak hızla yeniden ayağa kalkabildiğini gösteriyor.
SecurityScorecard, 12 Kasım’da tehdit istihbaratı ‘STRIKE’ ekibinin, grubun yakın zamanda siber suçlular için “mükemmel giriş noktaları” olarak tanımlanan eski Cisco RV320/325 ve Netgear ProSafe yönlendiricilerini kullandığını gözlemlediğini duyurdu.
Raporda grubun “her zamankinden daha sofistike ve kararlı” olduğu uyarısı yapılarak, sadece 37 günde görünür Cisco RV320/325 yönlendiricilerinin %30’unu operasyonel röle kutuları olarak kullanarak ele geçirdiği belirtildi.
SecurityScorecard, Volt Typhoon’un kötü niyetli eylemlerini gizlemek için tehlikeye atılmış kutuları kullandığını belirtti.
“Bu tehlikeye atılan yönlendiriciler, normal ağ trafiğini taklit ederken gizli veri hareketini kolaylaştıran dijital bukalemunlar gibi davranıyor.”
Analistler, grubun Mirai’ye benzer MIPS tabanlı bir kötü amaçlı yazılım türü kullanarak gizli bağlantılar kurduğunu ve 8443 üzerinden port yönlendirme yoluyla iletişim kurduğunu, böylece komuta operasyonlarının güvenlik ekiplerinden gizli kalmasına yardımcı olduğunu gözlemledi.
Raporda, grubun hedef ağda sürekli erişim ve kontrol sağlamak amacıyla yönlendiricilere fy.sh gibi web kabukları yerleştirdiği ve bu sayede grubun hedef ağda kalıcılığını sürdürebildiği belirtildi .
“Saldırı sadece gizlenmiyor, rutin ağ operasyonlarına sorunsuz bir şekilde entegre oluyor. Sonuç? Özellikle hükümet ve kritik altyapı sektörlerinde kötü niyetli faaliyetleri gizleyen ve herhangi bir temizleme çabasını zorlaştıran dayanıklı bir dayanak noktası.”
Volt Typhoon’un Pasifik ada merkezi küresel operasyonlar için ‘kritik öneme sahip’
Grubun doğrudan fidye yazılımı kullandığı bilinmemekle birlikte, raporda grubun, fidye yazılımı hizmeti olarak (RaaS) modelinin ortaya çıkmasıyla şekillenen bir tehdit ortamında faaliyet gösterdiği belirtiliyor.
Bu ekosistemde, siber suçlular fidye yazılımı saldırılarını daha çok casusluk odaklı kampanyalar yürütmek ve dijital gasp faaliyetlerinden elde ettikleri karı daha karmaşık araçlara yatırmak için kullanıyorlar.
SecurityScorecard, Volt Typhoon’un küresel operasyonlarının , Asya ve Amerika faaliyetlerini birbirine bağlayan kritik bir düğüm görevi gören Pasifik Okyanusu’ndaki küçük bir ada olan Yeni Kaledonya’da bulunan tek bir ele geçirilmiş VPN cihazına dayandığını vurguladı .
Rapora göre Volt Typhoon, Ekim 2023‘te adada varlığını kurarak ‘sessiz köprü’ olarak tanımlandı.
Ada, grubun Asya-Pasifik ve Amerika bölgeleri arasındaki trafiği tespit edilmeden yönlendirmesine yardımcı olan gizli bir merkez görevi görüyor ve botnetin etki alanını, kolluk kuvvetlerine ifşa etmeden genişletiyor.
Raporda, Eylül 2024 itibarıyla botnetin hayatta ve iyi durumda olduğu, JDYFJ adlı bir kümeyi kullanarak dünyanın dört bir yanındaki trafiği gizlice yönlendirdiği, Yeni Kaledonya’dan gelen bağlantılar ve yönlendirici düğümlerin bir aydan fazla süre aktif kaldığı ve “Volt Typhoon’un altyapısını güçlendirdiği” belirtildi.