Microsoft, Çin devleti destekli bilgisayar korsanlarının birçok sektörde istihbarat toplama amacıyla ABD'nin kritik siber altyapılarını hedef aldığı uyarısında bulundu.
ABD'nin yazılım devi Microsoft yaptığı uyarıda Çinli "Volt Typhoon" kod adlı siber aktörün ABD'deki kritik altyapı kuruluşlarına yönelik "post-kompromat kimlik bilgisi erişimi" ve "ağ sistem keşfi odaklı, gizli ve hedefe yönelik kötü niyetli faaliyetleri ortaya çıkardıklarını" bildirdi.
Şirket uyarısında ayrıca "Microsoft, orta düzeyde güvenle, Volt Typhoon eyleminin gelecekteki krizler sırasında Amerika Birleşik Devletleri ile Asya bölgesi arasındaki kritik iletişim altyapısını bozabilecek yeteneklerin geliştirilmesini amaçladığını değerlendirmektedir." ifadelerine yer verdi.
Microsoft, söz konusu aktörün 2021'in ortalarından beri aktif olduğu bilgisini verirken, olası bir izinsiz erişimden etkilenen müşterilerine erişim sağlanmış hesaplarını kapatıp şifrelerini değiştirme tavsiyesinde bulundu.
Haberde, Volt Typhoon'un şubattaki faaliyetinin ABD'nin Guam adasıyla arasında iletişim altyapısına odaklı olduğu ileri sürüldü.
Guam adası ABD'nin Çin'i çevreleme stratejisinin en kritik noktası ve bölgedeki en büyük Amerikan askeri üssüne ev sahipliği yapıyor.
Microsoft'un uyarısının ardından ABD dört ülkenin siber güvenlik otoriteleri ile söz konusu Çin devleti destekli siber aktörüyle ilişkilendirilen bir eylem kümesine dikkat çekmek üzere ortak bir Siber Güvenlik Uyarısı yayınladı.
Ortak uyarıya ABD'den Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve NSA'in yanı sıra Avustralya Sinyal Dairesi Avustralya Siber Güvenlik Merkezi (ACSC), Kanada İletişim Güvenliği Kurumu Siber Güvenlik Merkezi (CCCS), Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ) ve İngiltere Ulusal Siber Güvenlik Merkezi (NCSC-UK) de katıldı.
Yayınlanan uyarıda, ilgili kurumlar Microsoft'un tespit ettiği aktörün aynı teknikleri diğer ülkelere ve diğer sektörlere uygulayabileceğine inanıldığı bildirildi.
Volt Typhoon'un temel taktiklerinden birinin yerleşik ağ yönetimi araçlarını kullanarak gizlenmek olduğunu belirten kurumlar, "Bu aktörün kullandığı yerleşik araçlardan bazıları wmic, ntdsutil, netsh ve PowerShell'dir." bilgisine yer verdi.