Avustralya’nın 2022’de iki örgüte yönelik veri ihlaline ilişkin soruşturmaları, Çin’e bağlı devlet destekli bir tehdit grubu olan APT40’a yönelik uluslararası bir danışma raporunun temelini oluşturuyor.
Salı günü yayınlanan uzun bir duyuruda, APT40’ın “bölgedeki Avustralyalı ağların yanı sıra hükümet ve özel sektör ağlarını da defalarca hedef aldığı” belirtiliyor.
Avustralya Sinyal Müdürlüğü (ASD), grubun genellikle Log4j, Atlassian Confluence ve Microsoft Exchange gibi “yaygın olarak kullanılan yazılımlardaki” güvenlik açıklarına yönelik kavram kanıtlarından yararlandığını ve bunların “kamuoyuna açıklanmasından birkaç saat veya gün sonra” tespit edildiğini söyledi.
Ayrıca hedef ortamında kalıcılık sağlamak için web kabuklarını kullanır ve kimlik bilgilerini sızdırmak için hedef aldığı gözlemlenmiştir.
ASD, grubun zaman içinde mesleki becerilerinde iyileşmeler gözlemlediğini, başlangıçta komuta ve kontrol için ele geçirilmiş Avustralya web sitelerini kullandığını, daha sonra ele geçirilmiş küçük ofis/ev ofis (SOHO) cihazlarına doğru ilerlediğini söyledi.
ASD, “Bu SOHO cihazlarının birçoğu kullanım ömrünün sonuna gelmiş veya yama uygulanmamış durumda ve N günlük istismar için yumuşak bir hedef sunuyor” dedi.
“SOHO cihazları bir kez tehlikeye atıldığında, saldırıların meşru trafikle birleşip ağ savunucularına meydan okuması için bir başlangıç noktası oluşturur.”
ASD, soruşturmak üzere çağrıldığı ve APT40’ın çalışmasına atfettiği ihlallere ilişkin iki anonim vaka çalışması sundu.
ASD, ihlal edilen kuruluşlardan birinin “muhtemelen devlet destekli bir siber aktör tarafından kasıtlı olarak hedef alındığını” söyledi.
Soruşturma, “büyük miktarda hassas veriye erişildiğine dair kanıtlar ve aktörün ağda yatay olarak hareket ettiğine dair kanıtlar ortaya çıkardı.”
ASD, “Sızdırılan veriler arasında grubun oturum açmasını sağlayan ayrıcalıklı kimlik doğrulama bilgilerinin yanı sıra, orijinal erişim vektörü engellendiğinde bir aktörün yetkisiz erişimi yeniden kazanmasına olanak tanıyan ağ bilgileri de yer alıyordu” dedi.
İkinci bir vaka çalışmasında, bilgisayar korsanları, “kuruluşun kurumsal uzaktan erişim çözümü için oturum açma portalını sağlayan” internete bağlı bir sunucuyu ele geçirdiler ve ele geçirme sırasında yaygın olarak duyurulan uzaktan kod yürütme (RCE) güvenlik açığından yararlandılar.
ASD, Avustralya Siber Güvenlik Merkezi’nin “kötü niyetli bir aktörün Nisan 2022’de tehlikeye atılan cihazda yüzlerce benzersiz kullanıcı adı ve parola çiftinin yanı sıra uzaktan erişim oturumlarıyla ilgili çok sayıda çok faktörlü kimlik doğrulama kodu ve teknik eseri sızdırdığını” tespit ettiğini söyledi.
Tavsiye, ABD, İngiltere, Kanada, Yeni Zelanda, Almanya, Kore ve Japonya’nın da aralarında bulunduğu dünyanın dört bir yanındaki siber güvenlik ve polis yetkilileri tarafından ortaklaşa imzalandı.