Tehdit Aktörü Muhtemelen Tayvan’da Stratejik Çıkarı Olan Bir Bölgeden Faaliyet Gösteriyor
Jayant Chakravarti (@JayJay_Tech) •
10 Ekim 2023
Siber güvenlik araştırmacıları, daha önce tespit edilmemiş bir siber casusluk grubunun Tayvan devlet kurumlarına ve ada ülkesinin imalat sektörüne karşı casusluk yaptığını söylüyor. Symantec Tehdit Avcısı Ekibi, tehdit grubunu belirli bir ülkeye atfetmiyor; ancak grubun muhtemelen “Tayvan’da stratejik çıkarı olan bir bölgeden” faaliyet gösterdiğini belirtiyor.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Symantec tarafından “Grayling” olarak adlandırılan tehdit grubu ayrıca Şubat ve Mayıs ayları arasında BT ve biyomedikal şirketlerini de hedef aldı. Aynı tehdit aktörü aynı zamanda bir Pasifik ülkesi olan Amerika Birleşik Devletleri’ndeki Vietnam’daki kuruluşları da hackledi. Araştırmacılar, Salı günkü bir blog yazısında Grayling’in hedeflerinin ve sömürü sonrası davranışlarının finansal motivasyonlu bilgisayar korsanlığından ziyade istihbarat toplamaya işaret ettiğini söylüyor.
Tayvan, Pekin’in ada ülkesini kendi otoritesi altına alma konusundaki kararlılığının artmasıyla birlikte artan siber casusluk faaliyetleriyle karşı karşıya. Çin Devlet Başkanı Xi Jinping, ordunun 2027 yılına kadar Tayvan’ı işgal edebilecek kapasiteye sahip olmasını emretti. Çin hâlâ Tayvan’ın en büyük ticaret ortağı olmaya devam ediyor ve ülke ekonomisi üretim ve ihracat açısından anakaraya bağlı. Küresel bir yarı iletken üretim merkezi olan Tayvan, Çin’i sürekli bir ekonomik casusluk kampanyasıyla da suçladı.
Ağustos ayında Microsoft, Flax Typhoon olarak takip edilen Çinli bir casusluk grubunun Tayvan’daki devlet kurumlarını, eğitim, kritik üretim ve bilgi teknolojisi kuruluşlarını hedef alıp gözetlediğini ve “çok çeşitli sektörlerdeki kuruluşlara erişimi mümkün olduğu kadar uzun süre sürdürmeyi” hedeflediğini söyledi. ” (bkz: Tayvan’ı Hedef Alan Çin Devlet Hackerları ‘Keten Tayfunu’).
Symantec, Grayling’in araçları veya teknikleri ile Flax Typhoon dahil bilinen casusluk grupları tarafından kullanılanlar arasında herhangi bir örtüşme gözlemlemediğini söyledi. Diğer casusluk gruplarının aksine Grayling, ilk erişimi sağlamak için hedef odaklı kimlik avına güvenmiyordu.
Şirket, Grayling’in bunun yerine halka açık web sunucularından yararlandığını ve bazı durumlarda kurban makinelere ilk erişim için web kabukları kullandığını söylüyor. Bilgisayar korsanları, “kendine özgü” bir DLL yükleme tekniğini kullandı. SbieDll_Hook Cobalt Strike ve Havoc çerçevesi dahil çeşitli araçları yüklemek için.
Symantec’in kıdemli istihbarat analisti Brigid O Gorman, Information Security Media Group’a “Bu özel DLL dışarıdan yükleme tekniğini ilk kez gözlemliyoruz” dedi. Tehdit aktörlerinin bunu muhtemelen atıflara yol açabilecek tanınabilir taktiklerden uzaklaşmak için kullandığını söyledi.
Gorman, siber savunucuların artık Kobalt Saldırısı örneklerine karşı hassas olması nedeniyle tehdit aktörlerinin muhtemelen Havoc çerçevesini kullandığını söyledi.
“Son zamanlarda saldırganların Cobalt Strike’a alternatifler aradığını gördük, bu da çok fazla dikkat çekmeyebilir veya hedeflenen ağlarda engellenme olasılığı yüksek olabilir” dedi.
İçeri girdikten sonra Grayling, ele geçirilen ağları tarayan, ayrıcalıkları yükselten, süreçleri sonlandıran ve depolanan bilgileri sızdırmak için indiricileri kullanan ek yükleri indirmek için Havoc’u ve diğer araçları kullandı. O Gorman, Symantec’in tehdit avı ekibinin, tehdit aktörlerinin kurban makinelerden bilgi sızdırdığını görmediğini söyledi.