Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü
Tianfeng Guan’ın Sophos XG Güvenlik Duvarının Sıfır Gün İstismarını Geliştirdiği İddiası
David Perera (@daveperera) •
10 Aralık 2024
ABD federal hükümeti Salı günü, Sophos tarafından yapılan güvenlik duvarlarını hacklemek için kullanılan sıfır gün istismarının merkezinde olduğu iddia edilen Çinli bir hacker’a karşı ağır silahlarını kullandı, bir iddianameyi açığa çıkardı, yaptırımlar uyguladı ve şüphelinin tutuklanmasına yol açacak bilgiler için 10 milyon dolar teklif etti .
Ayrıca bakınız: Corelight’tan Brian Dye, NDR’nin Fidye Yazılımını Yenmedeki Rolü hakkında konuşuyor
Hükümet tipik olarak üç delikli cezai suçlama silahını, yaptırımları ve hayat değiştiren ödül parasını, bir Amerikan mahkeme salonunun içini asla görmeleri pek muhtemel olmayan ulus-devlet bilgisayar korsanları için saklıyor (bkz: ABD, Fed’e Yönelik Kimlik Avı Kampanyası Konusunda İran’a Baskı Yapıyor).
Salı günkü tam mahkeme basınının alıcısı, savcıların Pekin istihbarat teşkilatlarının özel sektör sorumlusu olan Sichuan Silence Bilgi Teknolojisi’nin 2020’de çalışanı olduğunu söylediği Çin vatandaşı Tianfeng Guan’dı. Hazine Bakanlığı, Guan ve Sichuan Silence’ı ABD finans sisteminden uzaklaştırırken, Dışişleri Bakanlığı Guan ve çalışma arkadaşları hakkında bilgi için 10 milyon dolar sözü verdi.
Ulusal Güvenlikten Sorumlu Başsavcı Yardımcısı Matthew G. Olsen, “Adalet Bakanlığı, sponsorları adına gelişigüzel hacklemeler gerçekleştiren ve küresel siber güvenliği baltalayan Çin merkezli kolaylaştırıcı şirketlerin oluşturduğu tehlikeli ekosisteme katkıda bulunanlardan hesap soracaktır” dedi.
İki maddelik iddianamede savcılar, Guan ve iş arkadaşlarının daha sonra CVE-2020-12271 olarak takip edilen bir sıfır gün tespit ettiğini söylüyor. Yaklaşık 81.000 makineyi etkileyen bir kampanyada Sophos’un XG güvenlik duvarı örneklerine karşı kullanılan bir SQL enjeksiyon güvenlik açığı geliştirdiler; bunların dörtte birinden fazlası Amerika Birleşik Devletleri’nde bulunuyordu ve onlarcası kritik altyapı operatörlerinin ağlarında bulunuyordu.
Guan ve şirket ilk başta Asnarök Truva Atı’nı yerleştirmek için sıfır gün kusurunu kullandı, ancak Sophos’un aceleyle bir yama yayınlamasının ardından Ragnarök kötü amaçlı yazılımını kullanan bir fidye yazılımı saldırısına geçti. Yamalı güvenlik duvarları fidye yazılımına karşı korunuyordu (bkz.: Bilgisayar Korsanları Sophos Güvenlik Duvarındaki Sıfır Gün Kusurundan Yararlanmaya Çalıştı).
Ekim ayında Sophos, Sichuan Silence Information Technology güvenlik duvarı kampanyası da dahil olmak üzere çok sayıda ulus-devlet Çinli bilgisayar korsanlığı grubunun cihazlarına sızmaya yönelik yarım on yıl süren çabalarını açıkladı (bkz.: Sophos, Yarım On Yıldır Devam Eden Çin Saldırısını Açıkladı).
Sophos’un Çinli bilgisayar korsanlarına karşı karşı saldırısını, “Pacific Rim” adlı özel sermaye şirketine ait bir şirketle kavga ettiğini açıklamasının ardından FBI, “şirketlere ve devlet kurumlarına ait uç cihazların ve bilgisayar ağlarının ele geçirilmesini içeren” bir soruşturma için kamu yardımı çağrısında bulundu. ” Sophos CISO Ross McKerchar, e-postayla gönderdiği bir açıklamada şirketin bugünkü eylemlerini takdir ettiğini söyledi. “Onları geride bırakmak için zaman ve çaba harcamazsak, bu grupların yavaşlamasını bekleyemeyiz ve bu, güvenlik açıkları konusunda erken şeffaflığı ve daha güçlü yazılım geliştirme taahhüdünü içerir” dedi.
Guan ve Sichuan Silence’ı 2020 baharında Sophos XG güvenlik duvarlarındaki ihlallere bağlayan kanıtlar arasında, kötü amaçlı yazılımları barındırmak için kullanılan çevrimiçi komuta ve kontrol alanları da vardı. Onlar kullandılar sophosfirewallupdate.com
Trojan’ı dağıtmak ve 9sg.met
Ragnarök fidye yazılımına yol açan bir yükleyici için. Savcılar, her iki alanın IP adreslerinin Çin’e çözüldüğünü söyledi.
İddianamede Guan’ın ilerlemesine ilişkin bir zaman çizelgesi sunuluyor ve Guan’ın 14 Şubat 2020’de bir test Sophos cihazını kaydettirdiği, 16 Şubat 2020’de ise ikinci bir test cihazını kaydettirdiği belirtiliyor. Aynı gün, bir web tarayıcısını da Sophos web sitesine yönlendirdiği iddia ediliyor. Güvenlik duvarı açıkları hakkında bilgi edinmek için. İddianamede, bilgisayar korsanlığı kampanyasının 22 Nisan 2020’de veya buna yakın bir tarihte başladığı belirtiliyor.
Hazine Bakanlığı Salı günü yaptığı açıklamada, Guan’ın siber güvenlik turnuvalarında Sichuan Silence adına yarıştığını ve Çin’in bilgisayar korsanlığı yeteneğini geliştirmeye yönelik iyi geliştirilmiş hattının altını çizdiğini bildirdi. Sichuan Silence, Çin istihbarat teşkilatları tarafından desteklenen, gelişen bilgisayar korsanlığı endüstrisi için bir mıknatıs görevi gören batı Çin şehri Chengdu’da bulunuyor. McKerchar Ekim ayında Information Security Media Group’a şöyle konuştu: “Silikon Vadisi teknoloji açısından iyi. Shenzhen donanım açısından iyi ve bir güvenlik açığı araştırmacısı olmak istiyorsanız Chengdu da iyi.”