Endüstriyel siber güvenlik şirketi Dragos tarafından yayınlanan bir rapora göre, Çin destekli siber casus ekibi 2023’ün başlarından bu yana “çok sayıda” Amerikan elektrik şirketinde keşif ve numaralandırma çalışmaları yürütüyor. Yakın zamanda ise Pekinli casusların telekomünikasyon ve uydu hizmetleri de dahil olmak üzere acil durum yönetim hizmetlerini hedef aldığı anlaşılıyor.
Dragos CEO’su Robert Lee “Endişe verici olan telekomünikasyon, elektrik üretimi ve dağıtımı gibi alanlarda seçtikleri hedefler çünkü bunlar rastgele değil son derece stratejik hedefler” diyor ve ekliyor: “Bu çete özellikle ABD altyapısına zarar vermeye ya da onu sakatlamaya çalışan bir düşman için stratejik değeri olan sahalara bakıyor.”
Volt Typhoon’un enerji ve diğer kritik altyapı tesislerini gözetlemesi yeni bir şey değil. ABD’de resmi kurumlar, istihbarat servisleri ve FBI bir süredir bu konuya dikkat çekiyorlar. Ancak Dragos raporu sızma hızının arttığını gösteriyor. ABD’deki dijital hırsızlıklara ek olarak, Çin yönetimi destekli siber casus ekibinin, Pekin’in sömürmeye oldukça hevesli olduğu bir kıta olan Afrika’daki elektrik iletim ve dağıtım kuruluşlarını da hedef aldığı söyleniyor.
Dragos, Volt Typhoon casus ekibinin 2023’ün başlarında Guam’da faaliyet gösterdiğini, Haziran 2023’te ABD acil durum yönetimi organizasyonuna sızdığını, Ağustos 2023’te Afrikalı elektrik iletim ve dağıtım sağlayıcılarını hedef aldığını, Kasım 2023’te ise ABD merkezli birden fazla elektrik sektörü kuruluşuna karşı Voltize faaliyetinin analizi konusunda E-ISAC ile işbirliği yaptığını ileri sürüyor.
Dragos’tan Lee’ye göre, Volt Typhoon’un bir ABD elektrik şirketinin güvenliğini tehlikeye attığı örneklerden birinde, siber casus ekibi tespit edilmeden önce “300 günden fazla bir süredir” kuruluşun BT ağındaydı. Dragos’a göre saldırganlar “açıkça operasyonel teknoloji ağına girmeye çalışıyorlardı”. Lee, operasyonel teknoloji ya da OT ağına sızamamış olsalar da Volt Typhoon’un coğrafi bilgi sistemleri verilerini çalmayı başardığını, bunun “gelecekteki yıkıcı saldırılarda faydalı olabilecek veriler” olduğunu belirtiyor.
Dragos raporuna göre Çinli casusların ele geçirdiği cihaz ve yazılımlardan bazıları Fortinet FortiGuard, PRTG Network Monitor cihazları, ManageEngine ADSelfService Plus, FatePipe WARP, Ivanti Connect Secure VPN ve Cisco ASA.
