Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Tehdit Araştırmacıları, ‘Diplomatik Hayalet Operasyonu’nda ‘Nadir Araçlar’ Kullanıldığını Buldu
Mathew J. Schwartz (euroinfosec) •
23 Mayıs 2024
Güvenlik araştırmacıları Çin’in küresel siber casusluk kampanyalarıyla ilgili yeni ayrıntıları ortaya çıkarmaya devam ediyor.
Ayrıca bakınız: Canlı Web Semineri | Dijital Doppelgängers: Deepfake Teknolojisinin İkili Yüzü
Araştırmacılar tarafından takip edilen uzun süredir devam eden bir kampanya Asya, Orta Doğu ve Afrika’da en az dokuz farklı hükümeti hedef alıyor. Gelişmiş kalıcı tehdit grubu, kurbanların BT ortamlarında kalıcılığı sağlamak için nadir veya daha önce hiç görülmemiş arka kapılar kullanıyor ve istihbarat amacıyla düzenli olarak e-posta sunucularına saldırıyor.
Palo Alto Networks’teki tehdit istihbaratı grubu Birim 42’deki araştırmacılar, APT grubunun en azından 2022’nin sonlarından bu yana aktif göründüğünü bildiren araştırmacılar böyle söyledi. Araştırmacılar, gruba bir kümenin kısaltması olan CL-STA-0043 kod adını verdiler. faaliyetler devlet destekli bir gruba atfediliyor ve bu grubun daha geniş çabaları Diplomatik Hayalet Operasyonu olarak takip ediliyor.
Araştırmacılar, grubun diplomatik ve ekonomik misyonları, üst düzey yetkilileri, askeri birimleri ve çeşitli diğer bakanlıkların yanı sıra çok sayıda büyükelçiliği hedef alırken “süreklilik ve uyum sağlama” gösterdiğini ve “nadir araçlar seti” kullandığını izledi.
Birim 42’ye göre “Tehdit aktörü, güncel jeopolitik gelişmeleri yakından izliyor ve günlük olarak bilgi sızdırmaya çalışıyor gibi görünüyor.” “Gözlemlediğimiz vakalarda tehdit aktörünün çalışma yöntemi, hedeflerin posta sunucularına sızmak ve bilgi aramak için bu sunucularda arama yapmaktı. Aktörün faaliyetleri kesintiye uğradığında uyum sağlamak ve tekrar erişim kazanmak için tekrarlanan girişimler de dahil olmak üzere kalıcılığı sürdürmek için çok sayıda çaba.”
Araştırmacılar, APT grubunun sürekli olarak bilinen güvenlik açıklarını, özellikle de CVE-2021-26855 olarak izlenen ProxyLogon olarak bilinen Microsoft Exchange sunucusu güvenlik açıklarını ve CVE-2021-34473 olarak izlenen ProxyShell’i hedef aldığını buldu (bkz.: Beş Göz İttifakı İlk 10 İlk Saldırı Vektörü Hakkında Tavsiyede Bulunuyor).
Grup, enfeksiyondan sonra çeşitli araçlar kullanıyor; araştırmacıların TunnelSpecter kod adını verdiği özel bir arka kapı da dahil olmak üzere, sistemlerin parmak izini alabilen, komutları uzaktan çalıştırabilen ve komuta ve kontrol veya saldırganın sistemiyle iletişim için DNS tüneli (kod adı da buradan geliyor) kullanabiliyor. sunucusu ve SweetSpecter adlı ikinci bir arka kapı.
Unit 42, “SweetSpecter kötü amaçlı yazılımına ilişkin analizimize dayanarak, bunun TunnelSpecter ile aynı yazar tarafından yazıldığına inanıyoruz” dedi. “Uzaktan erişim Truva atı olan TunnelSpecter ve SugarGh0st ile kod benzerlikleri paylaştığını bulduk.”
SugarGh0st RAT ilk olarak geçen Kasım ayında Cisco Talos tarafından tespit edildi. Bu, kaynak kodu 2008’de sızdırılan ve şu anda etkin bir şekilde açık kaynak olan ve birçok farklı saldırgan tarafından yaygın olarak kullanılan Gh0st RAT’ın bir çeşididir.
Cisco Talos geçen yıl, en az Ağustos 2023’ten bu yana SugarGh0st varyantını kullanan saldırganların siber casusluk kampanyasının bir parçası olarak Güney Kore’deki ve Özbekistan Dışişleri Bakanlığı’ndaki kullanıcıları hedef aldığı konusunda uyarmıştı. Araştırmacılar, ilk bulaşmalardan en azından bazılarının, SugarGh0st yükleyicisi olarak hizmet veren, kötü amaçlı bir JavaScript içeren bir Windows kısayolunu ek olarak içeren kimlik avı e-postalarından kaynaklandığına inanıyordu.
Talos araştırmacıları o sırada bir blog yazısında “SugarGh0st, uzaktan kumanda işlevlerinin çoğunu yürütebilen tamamen işlevsel bir arka kapıdır. Ters kabuğu başlatabilir ve komut kabuğunu kullanarak C2’den dizeler halinde gönderilen rastgele komutları çalıştırabilir” dedi. “Ayrıca, çalışan hizmetlerin yapılandırma dosyalarına erişerek makinenin hizmet yöneticisini yönetebilir ve hizmetleri başlatabilir, sonlandırabilir veya silebilir.”
Kod ve Altyapının Yeniden Kullanımı
Saldırganlar sıklıkla araçları paylaşır ve yeniden kullanır, bu da ilişkilendirmeyi karmaşık hale getirir. Talos ve Unit 42 grupları tarafından ayrı ayrı detaylandırılan saldırıların arkasında aynı APT grubunun olup olmadığı ya da aralarındaki ilişkinin ne olduğu açık değil.
Birim 42, Diplomatik Hayalet Operasyonu’nun bir parçası olarak kullanılan altyapının, diğer birçok Çin APT kampanyasında görülenlerle örtüştüğünü söyledi. Ana Diplomatic Spectre C2 sunucularından birinin, Uzay Korsanları gibi Çin’e bağlı aktörlere atfedilen kampanyalarda da kullanıldığı belirtildi; Iron Tiger Operasyonunda – APT27 olarak da bilinen Iron Taurus’a bağlı; ve Katolik Kilisesini hedef alan Exorcist Operasyonu, APT grubu Mustang Panda, diğer adıyla Stately Taurus ile örtüşüyor gibi görünüyor.
Anekdotsal kanıtlar ayrıca Diplomatik Hayalet Operasyonu saldırılarının Pekin bağlantılı bilgisayar korsanlarından geldiğini gösteriyor. Unit 42 araştırmacıları, grup tarafından başlatılan saldırıların genellikle Çin’deki mesai saatleriyle paralel olduğunu, yalnızca Gh0st RAT’ın özelleştirilmiş versiyonları değil, aynı zamanda PlugX, Htran ve China Chopper’ın da dahil olduğu, genellikle Çinli APT grupları tarafından kullanılan araçlar kullandığını ve Mandarin dilinde kod yorumları içeren kötü amaçlı yazılımlar kullandığını söyledi. ve hata ayıklama dizeleri ve birden fazla C2 sunucusu için Cloudie Limited ve Zenlayer dahil Çin Sanal Hizmet sağlayıcıları kullanıldı.
Çin’in İstihbarat Aygıtı
Bu tür saldırılar, istihbarat analistlerinin Çin’in şüpheli siber casusluk potansiyelinin yalnızca çok küçük bir kısmını temsil ediyor. Batılı bir istihbarat yetkilisi geçtiğimiz günlerde BBC’ye Çin’in istihbarat ve güvenlik teşkilatlarında yaklaşık 600.000 kişinin görev yaptığını, bu rakamın diğer tüm ülkelerden daha fazla olduğunu söyledi.
Sızıntılar ayrıca Çin’in, istihbarat toplama amaçları da dahil olmak üzere devlet onaylı hack saldırılarını kolaylaştırmak için bir dizi yüklenici çalıştırdığını gösteriyor (bkz: iSoon Sızıntısı Çin APT Gruplarına Bağlantıları Gösteriyor).
Çin’in siber casusluk çabalarının boyutu, son zamanlarda yayınlanan çok sayıda araştırma raporuyla daha da vurgulanıyor. Bunlar arasında, Çinli APT gruplarının, saldırılarını engellemek için sanal özel sunucular, saldırıya uğramış yönlendiriciler ve nesnelerin interneti cihazları kullanılarak oluşturulan, izlenmesi zor örgü ağların artan kullanımını ayrıntılarıyla anlatan Google Cloud’un Mandiant birim raporu da yer alıyor.
Bitdefender’daki güvenlik araştırmacıları, Gh0st RAT’ı temel alan kötü amaçlı yazılım kullanan, Unfading Sea Haze adını verdikleri yeni bir APT grubunun yanı sıra, daha önce Çin’e uyumlu bir bilgisayar korsanlığı grubu tarafından kullanılan kötü amaçlı yazılımlarla kod çakışmaları olan SharpJSHandler adlı bir web kabuğu alternatifini ayrı ayrı ayrıntılı olarak açıkladılar. APT41, yani Winnti, Wicked Panda ve Wicked Spider olarak takip ediliyor.