Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
ENISA ve CERT-EU, 6 Devlet Hacking Grubunun Aktif Olarak Avrupa Ağlarını Araştırdığını Söyledi
Akşaya Asokan (asokan_akshaya) •
17 Şubat 2023
Avrupa siber ajansları, Çin devletinin bölgedeki ağları aktif olarak araştıran bilgisayar korsanlığı gruplarına bağlı siber casusluk tehditleri konusunda uyarıda bulunuyor.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Avrupa Birliği Siber Güvenlik Ajansı ve CERT-EU, stratejik öneme sahip Avrupa ağlarını ve kuruluşlarını hedef almak için bir dizi teknikten yararlandıklarını söyledikleri altı Çinli gelişmiş kalıcı tehdit grubunu belirliyor. Gruplar APT 27, APT 30, APT 31, Ke3chang, Gallium ve Mustang Panda’dır.
Rapor, Avrupa Birliği’nin Çin’deki bilgisayar korsanlığı telaşını kınamasından ve ülkeyi kötü niyetli siber faaliyetleri bastırmaya çağırmasından yaklaşık 18 ay sonra geliyor. Pek çok Avrupa ülkesinde Çin’e yönelik tutumlar, Pekin’in Rusya’ya verdiği destek ve Çin’in Uygur Müslümanları ve diğer Müslüman etnik kökenlerden insanlara yönelik muamelesine ilişkin endişeler nedeniyle sertleşti. Çin’in üst düzey diplomatı Wang Yi şu anda Avrupa’da birkaç günlük bir gezide.
Ajanslar tarafından gözlemlenen kampanyalar arasında, APT 27’ye atfedilen Belçika’nın içişleri ve savunma bakanlıklarına Temmuz 2022’de düzenlenen bir saldırı var. Belçika, saldırıları APT 27, APT 30 ve APT 31’in yanı sıra UNC 2814, Gallium ve Softcell’e bağladı.
Bu tür diğer saldırılar arasında, siber güvenlik firması Proofpoint’in sivil toplum sektöründeki kurbanları hedef almasıyla tanınan Çinli bir APT grubu olan TA416’ya atfettiği Mart 2022’de Avrupalı diplomatların hacklenmesi yer alıyor.
Çin devleti tehdit aktörleri, bir kurbanı hedef almadan önce genellikle kapsamlı keşif faaliyetlerinde bulunur. Rapor, APT 31’in keşif faaliyetinin bir parçası olarak kurbanlarla anonim olarak iletişim kurmak için güvenliği ihlal edilmiş küçük ofis yönlendirme cihazlarından oluşan bir botnet kullandığını söylüyor.
Rapora göre, bilgisayar korsanları kurbanlarını belirledikten sonra, gruplar iyi hazırlanmış kimlik avı tuzakları gönderiyor. Ardından, kurbanın ağlarına ilk erişimi elde etmek için güvenlik açıklarından yararlanırlar. Bilgisayar korsanlığı grupları genellikle Apache sunucularını etkileyen Log4Shell güvenlik açığından yararlanır. ABD hükümeti ayrıca Log4Shell’i Çinli bilgisayar korsanları için tercih edilen bir güvenlik açığı olarak belirledi (bkz: Federaller, Çinli Bilgisayar Korsanlarının Favori Güvenlik Açıkları Arasında Log4Shell).