3. Parti Risk Yönetimi , Siber Savaş / Ulus-Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Çinli Tehdit Aktörü ‘Kadife Karınca’ Mağdur Ağında Yıllardır Tespit Edilemedi
Chris Riotta (@chrisriotta) •
18 Haziran 2024
Yeni araştırmaya göre, “Kadife Karınca” olarak bilinen Çinli bir tehdit aktörü, büyük bir kuruluşun sahip olduğu bir ağda üç yıl boyunca gizlenerek siber casusluk kampanyası yürütmek için devlet destekli araç ve teknikleri kullandı.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Pazartesi günü yayınlanan bir blog yazısında Sygnia araştırmacıları, bilgisayar korsanlığının savunmasız işletim sistemlerini içeren iki eski F5 BigIP cihazından yararlandığını söyledi. Araştırmacılar Velvet Ant’ı, kurbanın ağ altyapısındaki çeşitli giriş noktalarından yararlanarak yıllarca tespit edilmekten kaçan “sofistike ve yenilikçi bir tehdit aktörü” olarak tanımladı.
Araştırmacılar, “Bir dayanak noktası keşfedilip düzeltildikten sonra, tehdit aktörü hızlı bir şekilde diğerine geçerek tespitten kaçma konusunda çeviklik ve uyum yeteneği sergiledi” dedi ve olayın “sofistike tehditlere karşı dayanıklı savunma stratejileri oluşturmanın önemini vurguladığını” ekledi.
Velvet Ant, ağ üzerinde birden fazla dayanak noktası kazanmak ve ağ trafiğini gizlice manipüle etmek için F5 Big-IP yük dengeleyicisinden yararlanarak “dikkate değer bir kalıcılığa” ulaştı. Araştırmacılar kurban örgütünün adını vermedi.
Siber teknoloji ve hizmet şirketi Sygnia, sonunda Velvet Ant’ı ağdan silmeyi başardığını söyledi. Ancak firma, tehdit aktörünün “izlenmeyen sistemlerde hareketsiz kalıcılık mekanizmalarının kullanımı yoluyla tekrar tekrar ortaya çıkması” nedeniyle sürecin “amansız bir kedi fare oyununa benzediğini” söyledi.
Araştırmacılara göre Velvet Ant, faaliyetlerine yürütmeyi ve akışı ele geçirmeye odaklanarak başladı ve sonunda, enfekte olmuş sistemlerde neredeyse yönetimsel yetenekler kazanmak için PlugX adlı bir araçtan (o zamandan beri yerini halefi ShadowPad aldı) kullandı.
Araştırmacılar, benzer bir saldırıyla karşı karşıya kalmamak için kuruluşların ağları boyunca giden trafiği ve yanal hareketi sınırlamalarını öneriyor. Sygnia ayrıca şirketlerin eski teknolojilerin kullanımdan kaldırılmasına ve değiştirilmesine öncelik vermesi ve sistemleri daha iyi korumak için kimlik bilgisi toplama işlemini azaltması gerektiğini söyledi.