تقوم شركة Volt Typhoon الصينية بإعادة بناء شبكة الروبوتات في أعقاب إزالتها

يشهد ممثل تهديد الدولة الصيني المعروف باسم Volt Typhoon عودة كبيرة بعد تعطل البنية التحتية لشبكة الروبوتات الخاصة به في عملية إزالة بقيادة الولايات المتحدة في بداية فبراير 2024.

تتألف شبكة الروبوتات الخبيثة الخاصة بـ Volt Typhoon من المئات من مكاتب Cisco وNetgear الصغيرة والمنزلية (SOHO) أجهزة التوجيه التي وصلت إلى حالة نهاية العمر الافتراضي (EOL) وبالتالي لم تعد تتلقى تحديثات الأمان.

قام ممثل التهديد بإصابة هذه الأجهزة ببرمجيات KV Botnet الضارة واستخدمها للتعتيم على أصول الاختراقات اللاحقة التي تستهدف عمليات البنية التحتية الوطنية الحيوية (CNI) في الولايات المتحدة وأماكن أخرى.

الآن، بعد تسعة أشهر، محللو التهديدات من بطاقة الأداء الأمني يقولون إنهم لاحظوا علامات تشير إلى أن فولت تايفون لم تعد إلى العمل فحسب، بل أصبحت “أكثر تطوراً وإصراراً من أي وقت مضى”.

لقد قام فريق Strike التابع لـ SecurityScorecard بدراسة ملايين نقاط البيانات التي تم جمعها من البنية التحتية الأوسع لإدارة المخاطر في المنظمة، وقرر أنه يتكيف الآن ويحفر بعد أن لعق جراحه في أعقاب الإزالة.

“تسلط اكتشافات فريق Strike الضوء على التهديد المتزايد الذي يشكله Volt Typhoon. وقال رايان شيرستوبيتوف، نائب الرئيس الأول لأبحاث التهديدات والاستخبارات في SecurityScorecard: “مع انتشار الروبوتات وتعمق تكتيكاتها، يجب على الحكومات والشركات معالجة نقاط الضعف في الأنظمة القديمة والبنى التحتية السحابية العامة وشبكات الطرف الثالث بشكل عاجل”.

“إن Volt Typhoon عبارة عن شبكة روبوتات مرنة وتحذير. وبدون اتخاذ إجراء حاسم، فإن هذا التهديد الصامت يمكن أن يؤدي إلى أزمة بنية تحتية حرجة ناجمة عن نقاط الضعف التي تركت دون حل.

في الأشهر الأخيرة، أنشأت شركة Volt Typhoon خوادم قيادة جديدة باستخدام خدمات الاستضافة مثل Digital Ocean وQuadranet وVultr، وسجلت شهادات SSL جديدة لتجنب السلطات.

وواصلت المجموعة استغلال نقاط الضعف القديمة في سيسكو RV320/325 وأجهزة التوجيه Netgear ProSafe. وكشف شيرستوبيتوف أن العملية تمكنت من اختراق 30% من أجهزة Cisco RV320/325 المرئية في العالم في غضون شهر واحد فقط.

“لقد كشف التحقيق العميق الذي أجراه فريق Strike Team عن شبكة Volt Typhoon المعقدة المبنية على أجهزة SOHO وEOL المخترقة. وقال شيرستوبيتوف: “لقد قامت هذه المجموعة بتسليح أجهزة التوجيه القديمة على نطاق عالمي، ونسجت طبقات من التشويش تخفي وجودها وتجعل اكتشافها صعبًا للغاية”.

“تعمل أجهزة التوجيه المخترقة هذه بمثابة حرباء رقمية، مما يسهل الحركة السرية للبيانات مع محاكاة حركة مرور الشبكة العادية. وقد حدد المحللون البرمجيات الخبيثة المستندة إلى MIPS على هذه الأجهزة، على غرار ميراي، تم تصميمه لإنشاء اتصالات سرية والتواصل عبر إعادة توجيه المنفذ عبر 8443. تعمل هذه الطريقة على إبقاء عمليات قيادة Volt Typhoon بعيدة عن الرادار، حتى بالنسبة لفرق الأمن السيبراني المتمرسة.

“يتم زرع Webshells، مثل fy.sh، بشكل استراتيجي في أجهزة التوجيه، مما يسمح لـ Volt Typhoon بالحفاظ على الوصول المستمر والتحكم الآمن عن بعد. لا يقتصر الهجوم على الاختفاء فحسب، بل إنه يندمج بسلاسة في عمليات الشبكة الروتينية. النتيجة؟ وقال إن موطئ قدم مرن، خاصة داخل القطاعات الحكومية وقطاعات البنية التحتية الحيوية، يخفي الأنشطة الضارة ويعقد أي جهود تطهير.

اعتبارًا من سبتمبر 2024، لوحظ أن مجموعة الروبوتات الجديدة الخاصة بها تقوم بتوجيه حركة المرور في جميع أنحاء العالم، ويمر معظمها عبر جهاز شبكة افتراضية خاصة (VPN) مخترق يعمل كجسر صامت بين منطقة آسيا والمحيط الهادئ والولايات المتحدة.

ومن المقرر أن يقع هذا الجهاز في مكان ما في كاليدونيا الجديدة، وهي جزيرة فرنسية في جنوب المحيط الهادئ، على بعد حوالي 750 ميلاً شمال غرب كوينزلاند بأستراليا. من خلال وضع مركزها في موقع يعتبر جزءًا من فرنسا – على الرغم من الوضع القانوني لكاليدونيا الجديدة باعتبارها دولة فريد من نوعه تعد المناطق الخارجية معقدة ومثيرة للجدل في نفس الوقت – قد يكون Volt Typhoon قادرًا على تجنب التدقيق الإضافي وتوسيع نطاق شبكة الروبوتات الخاصة به إلى أبعد من ذلك.

وحذر شيرستوبيتوف من أن مشغلي CNI لا يزالون يمثلون هدفًا جذابًا للمهاجمين الذين ترعاهم الدولة الصينية بفضل دورهم الأساسي في الاستقرار الاقتصادي، في حين أن اعتماد القطاع المستمر على التكنولوجيا القديمة يخلق “عاصفة مثالية” للتعطيل.

وأضاف أن العديد من موردي التكنولوجيا الخارجيين أنفسهم يفتقرون إلى دفاعات قوية، مما يوفر لممثلي التهديدات المستمرة المتقدمة (APT) مثل Volt Typhoon نقاط دخول سهلة.