中國支持的網路間諜組織伏特颱風(Volt Typhoon) 正在系統性針對老舊思科設備進行複雜而隱密的攻擊活動,以擴大其攻擊基礎架構。
目前已發現的案例中,伏特颱風鎖定關鍵基礎設施為對象,從2019年開始利用路由器漏洞控制設備。SecurityScorecard 進一步針對伏特颱風進行調查時,發現攻擊針對自來水公司、電力供應商、交通和通訊系統。受害者包括美國、英國和澳洲的組織。
Lumen的報告說明伏特颱風以及其他中國支持駭客組織利用小型辦公室/家用 (SOHO) 路由器組成的殭屍網路進行攻擊。
SecurityScorecard使用 Lumen發布的IoC指標識別與伏特颱風相關的活動。威脅研究人員表示,調查結果顯示伏特颱風的活動可能比先前想像的更為廣泛。
舉例而言,2023 年 12 月 1 日至 2024 年 1 月 7 日期間,SecurityScorecard 在 37 天內在 C2 殭屍網路上觀察到,伏特颱風似乎對 30%報廢路由器(即 1,116 個報廢 Cisco RV320/325 路由器中的 325 個)造成了損害。受感染的思科設備與已知的伏特颱風基礎通信架構之間有著定期連接,表明操作非常活躍。
SecurityScorecard還表示,伏特颱風正在部署“fy.sh”,這是該組織目前瞄準的思科路由器和其他網路邊緣設備上迄今為止未知的 Web shell。此外,SecurityScorecard 還辨識出多個與伏特颱風 活動相關的新 IP 位址。
伏特颱風,已被美國網路安全和基礎設施局 (CISA)認定為由國家支持的中國威脅組織,鎖定美國關鍵基礎設施部門。微軟於 2023 年 5 月率先報告該組織,稱該組織自 2021 年 5 月以來一直活躍,總部位於中國,並使用一系列「寄生攻擊(Living-off-the-Land )」技術進行大規模網路間諜活動。微軟評估伏特颱風正在發展破壞美國和亞洲之間關鍵通訊能力的技術。伏特颱風使用受感染的路由器進行資料傳輸是該組織致力於秘密行動的一個跡象。
研究人員表示,伏特颱風經常透過這些設備路由流量,以避免在針對與受感染路由器位於同一區域的組織時進行地理位置的檢測。
從攻擊者的角度來看,伏特颱風針對報廢設備的攻擊也很有意義。大約有35 個已知的嚴重漏洞,其嚴重程度在CVSS 等級上的評級至少為9 分(滿分10 分),其中包括CISA 已知利用漏洞目錄(KEV) 中的兩個漏洞。
三年前,2021 年 1 月,思科已停止發布Cisco RV320 路由器的更新、維護版本和修復。除了思科設備外,與伏特颱風相關的殭屍網路還包括受感染的DrayTek Vigor 和 Netgear ProSafe 路由器。
研究人員同時表示,專注於遺留系統並不是威脅行為者的常見策略,主要是因為它需要有關舊系統及其漏洞的特定知識,而這些知識可能並未被廣泛了解或記錄下來。但這是一個日益增長的趨勢,特別是在國家支持的駭客組織,他們多半有資源和動力進行廣泛的偵察並開發量身定制的漏洞。
例如多個威脅行為者利用 TCP/IP 堆疊中的Ripple20 漏洞。該漏洞影響了數百萬台遺留物聯網設備。中國和伊朗的威脅組織也曾利用舊VPN 產品中的缺陷。
本文轉載自DarkReading。