في 7 فبراير، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، إلى جانب وكالات حكومية أمريكية أخرى ووكالات حكومية في أستراليا وكندا والمملكة المتحدة ونيوزيلندا، بيانًا استشارات الأمن السيبراني على فولت تايفون، ممثل ترعاه الدولة في جمهورية الصين الشعبية. وحافظت مجموعة القرصنة على إمكانية الوصول المستمر إلى بعض ضحايا البنية التحتية الحيوية لمدة خمس سنوات على الأقل، وفقًا للتحذير.
تأتي هذه النظرة الثاقبة لنشاط Volt Typhoon بعد حوالي أسبوع من إعلان وزارة العدل الأمريكية أن أ العملية التي أذنت بها المحكمة عطلت شبكة KV Botnet الخاصة بالمجموعة. مع استمرار نشاط الجهات الفاعلة في تهديد الدولة القومية، ما الذي يحتاج القادة الأمنيون إلى معرفته حول هذه المجموعة بالذات، وعملية الإزالة الأخيرة، وتوقعات التهديدات المستمرة؟
نشاط فولت تايفون
لدى Volt Typhoon تاريخ في استهداف مؤسسات البنية التحتية الحيوية. “منشآت معالجة المياه، ومحطات الطاقة، والطاقة النووية، سمها ما شئت. “إذا كانت البنية التحتية الحيوية، فإنهم يريدون ذلك،” جريج هاتشر، الرئيس التنفيذي لاستشارات الأمن السيبراني مختبرات وايت نايت“، يقول InformationWeek. وقد قامت المجموعة باختراق مؤسسات البنية التحتية الحيوية في الولايات المتحدة القارية والولايات المتحدة غير القارية والأراضي الأمريكية، مثل غوام، وفقًا لاستشارات الأمن السيبراني.
“لقد كانوا يميلون إلى استخدام الكثير … أكثر العيش خارج الأرض أو تقنيات لوحة المفاتيح العملية، كما يقول روب أميس، وهو باحث في مجال التهديد في فريق العمل بطاقة الأداء الأمني، شركة تصنيفات الأمن السيبراني. “بمجرد أن يكونوا على الشبكة، [they are] القيام… بعمل يدوي لإجراء التسويات أو جمع المعلومات، بدلاً من النشاط الناتج عن البرامج الضارة، والذي قد يكون أسرع ولكن ربما يحتوي أيضًا على المزيد من الهبات لنشاطه.
يمكن أن تكون هذه التكتيكات الخفية مسؤولة عن العدد الصغير نسبيًا من الاكتشافات المرتبطة بـ Volt Typhoon مقارنة بالجهات الفاعلة الأخرى المدعومة من جمهورية الصين الشعبية، مثل APT10. “إذا قمت بسحب بيانات لمدة أسبوع على APT10، فيمكن بسهولة أن تصل إلى 200000 عملية اكتشاف في جميع أنحاء العالم. وبالنسبة لـ Volt Typhoon، فإننا لا نرى سوى ما يقرب من 1000 أو 2000 عملية اكتشاف،” تقول آن آن، باحثة استخبارات التهديدات في شركة الأمن السيبراني. تريليكس.
قامت شركة Volt Typhoon بربط المئات من أجهزة التوجيه الخاصة بالمكاتب الصغيرة والمكاتب المنزلية (SOHO) بشبكة KV Botnet الخاصة بها. كانت شبكة الروبوتات بمثابة إخفاء لأصولها في جمهورية الصين الشعبية، حيث كانت تلاحق المنظمات الضحية. كانت غالبية أجهزة التوجيه في شبكة الروبوتات عبارة عن مسارات Cisco وNetGear منتهية الصلاحية، وفقًا لاستشارات الأمن السيبراني.
عملية الإزالة
تمت العملية التي أذنت بها المحكمة في ديسمبر 2023. العملية “… حذفت البرنامج الضار KV Botnet من أجهزة التوجيه واتخذت خطوات إضافية لقطع اتصالها بشبكة الروبوتات، مثل حظر الاتصالات مع الأجهزة الأخرى المستخدمة للتحكم في شبكة الروبوتات، بحسب بيان صحفي لوزارة العدل.
وعملت وزارة العدل ومكتب التحقيقات الفيدرالي (FBI) مع شركاء من القطاع الخاص لتنفيذ العملية.
يقول آن: “هذا هو الوقت الذي يحاول فيه خبراء القطاعين العام والخاص العمل معًا للتوصل إلى طرق للتخفيف من حدة وحماية … أنظمتنا وحتى التنبؤ بالتهديدات التي تواجه … ومعرفة ما يجب فعله بعد ذلك”.
في 7 فبراير، أفادت مختبرات Black Lotus Labs التابعة لشركة Lumen Technologies النتائج على KV Botnetبما في ذلك محاولات المجموعة لإحياء شبكة الروبوتات. يبدو أن عملية الإزالة، بالإضافة إلى “التوجيه الفارغ السريع لشركة Lumen Technologies”، كان لها تأثير ملحوظ.
“نعتقد أن الذراع الرئيسية لشبكة الروبوتات، وهي مجموعة KV، أصبحت خاملة بسبب الإجراءات التي اتخذتها سلطات إنفاذ القانون الأمريكية”، وفقًا للتقرير.
وقد أحبطت العملية بعض أنشطة المجموعة، لكن لم يتم القبض على الممثلين الذين يقفون وراء Volt Typhoon. ومع ذلك، هناك قيمة في تعطيل الجهات التهديدية مثل هذه.
وقال توبي لويس، الرئيس العالمي لتحليل التهديدات: “في نهاية المطاف، على الرغم من أن عملية الإزالة هذه قد تكون قصيرة الأمد، فإنها ترفع التكلفة على المهاجمين”. في شركة الأمن السيبراني Darktrace، يشارك في مقابلة عبر البريد الإلكتروني. “إنه يجبرهم على إلغاء سنوات محتملة من الاستثمار التقني والتطوير، وفي حالة العمليات النشطة، يجبرهم على التخلي عن أي موطئ قدم قد يطالبون به”.
التهديدات المستمرة
في حين واجهت Volt Typhoon عقبة مع تعطيل شبكة الروبوتات KV، فمن المرجح أن تستمر هي وغيرها من الجهات الفاعلة التي تهدد الدولة القومية في استهداف البنية التحتية الحيوية. “يستهدف المتسللون الصينيون البنية التحتية المدنية الحيوية الأمريكية، ويستعدون مسبقًا لإحداث ضرر حقيقي وقال مدير مكتب التحقيقات الفيدرالي كريستوفر راي في بيان صحفي لوزارة العدل: “للمواطنين والمجتمعات الأمريكية في حالة الصراع”.
يشدد على أهمية أمن التكنولوجيا التشغيلية (OT). “[We] فقط افترض أنها تعمل وكل ما عليها فعله هو أن تعمل، مثل نظام المياه ونظام المرافق، ولكن عندما تصبح سلاحًا في حالة الصراع … تصبح هذه مشكلة كبيرة جدًا.
لقد أظهر Volt Typhoon أنه ماهر في تجنب الكشف. ويشير أميس إلى أن “هذا قد يعني أن لديه الكثير من أجهزة التوجيه المخترقة أو غيرها من أجهزة حافة الشبكة تحت تصرفه”. كما أثبتت المجموعة قدرتها على التكيف؛ يمكن أن يركز على استهداف الأجهزة الضعيفة الأخرى.
يقول لويس: “إن التحدي الذي يواجه فرق الأمن هو غالبًا ما يكون هناك فارق زمني بين إطلاق القدرة الجديدة، واكتشافها بواسطة الأنظمة التي تقودها الاستخبارات المتعلقة بالتهديدات”. “تؤكد هذه النقطة العمياء على أهمية حلول الكشف عن التهديدات القائمة على الحالات الشاذة والتي يمكنها اكتشاف التهديدات الدقيقة والناشئة والجديدة واتخاذ إجراءات مستهدفة دون الاعتماد على معرفة الأنظمة المحددة للمهاجم.”
في تحذير الأمن السيبراني، توصي CISA بتصحيح الأجهزة المعروفة باستغلالها بواسطة Volt Typhoon، وتنفيذ مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي، وتشغيل تسجيل الدخول للتطبيقات وسجلات الوصول والأمن وسجلات المتجر.
يعد جرد الأجهزة لاكتشاف المعدات المنتهية الصلاحية خطوة مهمة يمكن أن تتخذها مؤسسات البنية التحتية الحيوية، ولكن قد يكون الأمر صعبًا عندما تفتقر العديد من هذه المؤسسات إلى المواهب والموارد الأمنية. ولكن هناك موارد مجانية يمكن للمؤسسات استخدامها لفحص شبكاتها بحثًا عن الأجهزة المكشوفة.
“المنظمات [can] يقول أميس: “البدء من هناك… لمحاولة تحديد الأجهزة التي يحتمل أن تكون معرضة للخطر على شبكتهم الخاصة، ومن ثم إزالتها واستبدالها”. “ويمكن أن يؤدي ذلك إلى تقليل قدرات Volt Typhoon، فقط عن طريق تقليل الأدوات المتاحة لها.”
