bencede
New member
ABD'nin CISA, NSA ve FBI servislerinin yanı sıra diğerlerinin yanı sıra Kanada, Avustralya ve İngiliz güvenlik otoriteleri de ortak bir açıklamada, hükümete yakın olduğundan şüphelenilen Çinli sabotajcılara karşı uyarıda bulundu. Hizmetlerin değerlendirmesine göre, bunlar zaten yıllardır kritik altyapılara sızmış ve güvenlik açıklarından kalıcı olarak yerleşmişlerdir. Korku: ABD tesislerine yönelik yıkıcı saldırılar yakın olabilir.
Duyuru
Raporun devamında, Volt Typhoon saldırı grubunun iletişim, enerji, ulaşım ve su sektörlerindeki kritik tesislerin ağlarında halihazırda ele geçirildiği belirtiliyor. Casuslukla meşgul gibi görünmediğinden, sızmanın arkasında başka niyetler olabilir: Amerika Birleşik Devletleri ile Çin arasındaki çatışmanın tırmanması durumunda Çinliler, rakiplerinin güçlerine ciddi zarar verebilecek bir konumda olacaktır. altyapı.
Volt Typhoon, FortiNet, Ivanti, Netgear, Citrix ve Cisco'nun VPN ağ geçitleri ve yönlendiricilerindeki çok sayıda güvenlik açığından yararlanıyor. Bunların şu anda özellikle savunmasız olduğu değerlendiriliyor: Sadece son birkaç gün içinde Ivanti ve FortiNet, ürünlerinin güvenliğinde suçluların sızmasına izin veren kritik boşlukları ortaya çıkardı.
Rainbow Tables kullanarak kırık Windows kimlik bilgileri
Volt Typhoon bu şekilde ağlara sızıyor ve kalıcı erişim kazanıyor.
(Resim: CISA)
Çinli siber savaşçılar VPN aracılığıyla ağa girdiklerinde, yönetici haklarını kazanmak için daha fazla açıktan yararlanıyorlar. Kalıcı erişimi sürdürmek için, tüm oturum açma verilerini etki alanı denetleyicisinden kopyalarlar, Rainbow tablolarını kullanarak istedikleri zaman kırarlar ve çalınan kimlikleri hedef ağda gizlice hareket etmek için kullanırlar.
Güvenlik yetkililerine göre davetsiz misafirlerin asıl hedefi, hidroelektrik santraller için kontrol sistemleri veya endüstriyel kontroller gibi “operasyonel teknoloji” (OT)'dir. Çinliler, varlıklarını gizlemek için güvenlik yazılımı tarafından tespit edilebilecek kötü amaçlı yazılım yüklemiyor, ancak ele geçirdikleri sistemlerde zaten yüklü olan araçlara benzer araçları kullanıyor. certutilPowerShell ve netstat amaçlarınız için. Güvenlik uzmanları bu tekniğe “Toprağın Dışında Yaşamak” (LOTL) adını veriyor.
Fidye yazılımı çeteleri veya casuslarından farklı olarak Volt Typhoon üyeleri, yalnızca belirli veri kümelerini, özellikle de kablo şemaları veya sistem kılavuzları gibi OT bileşenlerine daha sonra yapılacak saldırıları kolaylaştıran veri kümelerini kopyalar veya şifreler.
Öncelikle ABD siber güvenlik kurumu CISA'nın yetkisi altındaki şirketlere ve yetkililere yönelik olan ayrıntılı güvenlik danışmanlığına ek olarak, saldırganların yakalanmasına yardımcı olacak teknik talimatlar da yayınlandı. Yöneticileri, sistemlerine ve ağ cihazlarına mümkün olan en kısa sürede yama yapmaya ve sıkılaştırıcı önlemlerle saldırı yüzeyini azaltmaya çağırıyorlar.
Güncelleme
02/09/2024
16.09
Saat
CISA raporuna saldırı sürecinin bir diyagramı eklendi.
(cku)
Haberin Sonu
Duyuru
Raporun devamında, Volt Typhoon saldırı grubunun iletişim, enerji, ulaşım ve su sektörlerindeki kritik tesislerin ağlarında halihazırda ele geçirildiği belirtiliyor. Casuslukla meşgul gibi görünmediğinden, sızmanın arkasında başka niyetler olabilir: Amerika Birleşik Devletleri ile Çin arasındaki çatışmanın tırmanması durumunda Çinliler, rakiplerinin güçlerine ciddi zarar verebilecek bir konumda olacaktır. altyapı.
Volt Typhoon, FortiNet, Ivanti, Netgear, Citrix ve Cisco'nun VPN ağ geçitleri ve yönlendiricilerindeki çok sayıda güvenlik açığından yararlanıyor. Bunların şu anda özellikle savunmasız olduğu değerlendiriliyor: Sadece son birkaç gün içinde Ivanti ve FortiNet, ürünlerinin güvenliğinde suçluların sızmasına izin veren kritik boşlukları ortaya çıkardı.
Rainbow Tables kullanarak kırık Windows kimlik bilgileri
Volt Typhoon bu şekilde ağlara sızıyor ve kalıcı erişim kazanıyor.
(Resim: CISA)
Çinli siber savaşçılar VPN aracılığıyla ağa girdiklerinde, yönetici haklarını kazanmak için daha fazla açıktan yararlanıyorlar. Kalıcı erişimi sürdürmek için, tüm oturum açma verilerini etki alanı denetleyicisinden kopyalarlar, Rainbow tablolarını kullanarak istedikleri zaman kırarlar ve çalınan kimlikleri hedef ağda gizlice hareket etmek için kullanırlar.
Güvenlik yetkililerine göre davetsiz misafirlerin asıl hedefi, hidroelektrik santraller için kontrol sistemleri veya endüstriyel kontroller gibi “operasyonel teknoloji” (OT)'dir. Çinliler, varlıklarını gizlemek için güvenlik yazılımı tarafından tespit edilebilecek kötü amaçlı yazılım yüklemiyor, ancak ele geçirdikleri sistemlerde zaten yüklü olan araçlara benzer araçları kullanıyor. certutilPowerShell ve netstat amaçlarınız için. Güvenlik uzmanları bu tekniğe “Toprağın Dışında Yaşamak” (LOTL) adını veriyor.
Fidye yazılımı çeteleri veya casuslarından farklı olarak Volt Typhoon üyeleri, yalnızca belirli veri kümelerini, özellikle de kablo şemaları veya sistem kılavuzları gibi OT bileşenlerine daha sonra yapılacak saldırıları kolaylaştıran veri kümelerini kopyalar veya şifreler.
Öncelikle ABD siber güvenlik kurumu CISA'nın yetkisi altındaki şirketlere ve yetkililere yönelik olan ayrıntılı güvenlik danışmanlığına ek olarak, saldırganların yakalanmasına yardımcı olacak teknik talimatlar da yayınlandı. Yöneticileri, sistemlerine ve ağ cihazlarına mümkün olan en kısa sürede yama yapmaya ve sıkılaştırıcı önlemlerle saldırı yüzeyini azaltmaya çağırıyorlar.
Güncelleme
02/09/2024
16.09
Saat
CISA raporuna saldırı sürecinin bir diyagramı eklendi.
(cku)
Haberin Sonu