Siber savaş / ulus-devlet saldırıları, sahtekarlık yönetimi ve siber suç
Araştırmacılar, ABD’nin ABD Servis Sağlayıcı Altyapısına Gizli Erişimini Ortaya Çıkarıyor
Chris Riotta (@Chrisriotta) •
24 Eylül 2025
Güvenlik araştırmacıları, bir yıldan fazla bir süredir ABD altyapısı ve kurumsal hizmet sağlayıcılara yerleşen Çin bağlantılı bir siber başlık kampanyası ortaya çıkardı.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Google’ın sahip olduğu tehdit Intel Company Mandiant, bir blog yayınında, 2025 yılından bu yana yasal hizmetler, hizmet olarak yazılım sağlayıcıları, iş süreci dış kaynak kullanıcıları ve teknoloji firmaları gibi sektörlerde tuğla storm kötü amaçlı yazılım etkinliğini izlediğini söyledi. Kampanyanın hedefi Mandiant, “tipik casusluk görevlerinin ötesine uzanıyor” ve sıfır gün istismarlarının gelişimini destekleyebilir veya aşağı akış kurbanlarına daha geniş erişim sağlayabilir.
Raporda, UNC5221 olarak izlenen Çin-Nexus tehdit kümelerine bağlı tuğla fırtınası kampanyasının, altyapı ve cihazların genellikle geleneksel güvenlik kapsamından hariç tutulduğunu ve uzun vadeli, düşük görünürlük erişimini sağladığını gösteriyor. Araştırmacılar, yüksek değerli hizmet sağlayıcılarını ihlal ederek, saldırganların hassas işletme ortamlarına dönüşebileceğini ve daha kalıcı ve teknik olarak ileri casusluk operasyonlarına doğru bir kayma işaret edebileceğini söyledi.
Brickstorm, geleneksel uç nokta tespiti ve yanıt kapsamı olmayan Linux ve BSD cihazları için inşa edilmiş çorap proxy işlevselliğine sahip özel bir GO tabanlı arka kapıdır. Mantiant, kötü amaçlı yazılımların birkaç varyantını, en az bir durumda geciktirme, en az bir durumda geciktirme ve VMware ESXI ve vCenter sistemlerine sık sık dağıtımlarla tespit etmek için maskelenme tekniklerini tanımladığını söyledi.
Mantian, aynı tehdit grubunu Nisan ayında Ivanti VPN cihazlarında keşfedilen kötü amaçlı yazılımlarla ilişkilendirmişti, burada saldırganlar algılamadan kaçınmak için dahili Ivanti Integrity Checker aracına kurcalamaya çalıştı (bakınız: Legacy Ivanti VPN Cihazlarını Hedefleyen Çin Casusluk Grubu).
Mantiant, tehdit oyuncusunun, algılamadan kaçınmak ve kalıcılığından kurtulmak için değiştirilmiş başlangıç komut dosyaları, web mermileri ve bellek içi yükler kullanarak cihaz düzeyinde kör noktaların derin bir anlayışını gösterdiğini söyledi. Araştırmacılar, saldırganların devam eden olay müdahale çabalarını aktif olarak izledikleri ve rapora göre, gerçek zamanlı olarak erişimi yeniden kurmak için yeni tuğla fırtınası örnekleri kullandıkları durumları gözlemlediler.
Brickstorm kötü amaçlı yazılımlar genellikle meşru cihaz süreçleri olarak görünecek şekilde tasarlanmıştır, dedi Mantiant, dosya adları ve işlevsellik özel olarak bir ev sahibi ortama karışmak için tasarlanmış işlevsellik de dahil. Raporda ayrıca, farklı kurbanlar için aynı alanları yeniden kullanmadan komut ve kontrol altyapısını yönetmek için dijital hizmetlerin kullanımını da kaydetti.