Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Ulus-Devlet Grubu APT40, Kamuoyuna Açık Yazılım Kusurlarını Rutin Olarak Kullanıyor
Jayant Chakravarti (@JayJay_Tech) •
10 Temmuz 2024
Avustralyalı siber güvenlik ajansı, hassas bilgileri çalmak için Avustralyalı kuruluşlara yönelik sürekli siber saldırılar düzenleyen APT40 olarak izlenen Çin devlet destekli bir siber casusluk grubunu suçluyor. Grup, ağları tehlikeye atmak için bilinen yazılım güvenlik açıklarından yararlanıyor.
Ayrıca bakınız: İsteğe Bağlı Siber Suçlular Tatil Günlerini Boş Geçirmezler
Ülkenin federal istihbarat teşkilatının siber güvenlik kolu olan Avustralya Siber Güvenlik Merkezi, Avustralya Sinyal Müdürlüğü ve Yeni Zelanda, Japonya, Güney Kore, ABD, Birleşik Krallık, Kanada ve Almanya’daki uluslararası kuruluşların Salı günü yayınladığı ortak bildiriye göre, APT40 yıllardır birçok ülkede hükümet ve özel kuruluşlara karşı siber casusluk kampanyaları yürütüyor.
Danışmada, Çin’in Hunan eyaletindeki Haikou şehrinde konuşlandığı düşünülen tehdit grubunun, hedeflenen ağlara erişmek için ağırlıklı olarak savunmasız, kullanım ömrü dolmuş ve desteklenmeyen cihazları avladığı belirtiliyor. Grup, ilgi duyulan ağlara karşı ayrıntılı keşifler yürütüyor, savunmasız cihazları belirliyor ve sızma ve kalıcılık elde etmek için istismarlar oluşturuyor.
Çin Devlet Güvenlik Bakanlığı’na bağlı olan ve bakanlığın Hainan Devlet Güvenlik Departmanı’ndan görev alan grup, yakın zamanda komuta ve kontrol sunucuları olarak ele geçirilmiş web sitelerini kullanmaktan, birçoğu yamalanmamış veya kullanım ömrü dolmuş, ele geçirilmiş küçük ofis ve ev ofis sistemlerini kullanarak meşru trafiğe uyum sağlamaya başladı.
Siber güvenlik kurumu, casusluk grubunun başarısının, kurban örgüt yama uygulayamadan önce web uygulamaları ve yazılımlarının güvenliğinin ihlal edilmesine dayandığını, dolayısıyla örgütlerin internete bakan altyapıya 48 saat içinde güvenlik yamaları veya hafifletme önlemlerinin uygulanmasını sağlamaları gerektiğini söyledi.
Kurum, güvenlik liderlerine web ve bulut tabanlı e-posta, uzak masaüstü hizmetleri, sanal özel ağlar ve işbirliği platformlarında çok faktörlü kimlik doğrulamayı etkinleştirmelerini; kullanım ömrü dolan ekipmanları değiştirmelerini; kullanılmayan veya gereksiz ağ hizmetlerini devre dışı bırakmalarını; dosya paylaşımlarına ve sunuculara en az ayrıcalığı uygulamalarını; bilgisayarlar arasındaki yanal hareketi ve yetkisiz trafik alışverişini engellemek için ağlarını segmentlere ayırmalarını tavsiye etti.
ACSC’nin uyarısı, Çin ulus-devlet casusluk örgütlerinin, Çin’in bölgesel ve jeopolitik stratejilerini destekleyebilecek bilgileri toplamak amacıyla Asya hükümetlerine ve özel sektör kuruluşlarına yönelik saldırılarını yoğunlaştırdığına dair haberlerin ardından geldi.
Siber güvenlik şirketi SentinelOne, Haziran ayında yaptığı açıklamada, ChamelGang adıyla takip ettiği bir Çinli siber casusluk grubunun, 2021’in başından bu yana birden fazla Asyalı kuruluştan veri çalmak için yem olarak fidye yazılımı kullandığını ancak hemen dikkat çekmediğini söyledi (bkz: Çinli Casusluk Grubu Asya Kampanyalarında Fidye Yazılımı Kullanıyor).
Recorded Future’ın tehdit araştırma kolu Insikt Group, 2023’ten bu yana yaklaşık 75 kuruluşa yönelik RedJuliett olarak takip edilen Çin devlet destekli bir grup tarafından gerçekleştirilen sürekli casusluk saldırılarını bildirdi. Kurbanların çoğu Tayvan’da bulunuyordu (bkz: Çinli Hackerlar Tayvanlı Firmaları Casusluk Yaparken Yakalandı).