Muhtemelen Çin destekli bir gelişmiş kalıcı tehdit (APT) grubu, en azından son üç yıldır nispeten üretken siber casusluk operasyonlarını gizlemek için sistematik olarak fidye yazılımını kullanıyor.
SentinelOne’daki araştırmacıların ChamelGang (diğer adıyla CamoFei) olarak takip ettiği tehdit aktörü, yakın zamanda Doğu Asya ve Hindistan’daki kritik altyapı kuruluşlarını hedef aldı.
Dikkat Dağıtıcı Olarak Fidye Yazılımı
ChamelGang’ın o bölgedeki kurbanlarından bazıları arasında Hindistan yarımadasındaki bir havacılık organizasyonu ve Tüm Hindistan Tıp Bilimleri Enstitüsü (AIIMS) yer alıyor. Ancak grubun önceki kurbanları arasında hükümet ve özel sektör kuruluşları da yer alıyor. kritik altyapı sektörleri— ABD, Rusya, Tayvan ve Japonya’da.
SentinelOne’a göre ChamelGang’ın operasyonlarını dikkate değer kılan şey, siber casusluk odağını gizlemek ve dikkatini dağıtmak için CatB adlı bir fidye yazılımı aracını düzenli olarak kullanmasıdır.
Güvenlik sağlayıcısı Dark Reading ile paylaşılan bir raporda, “Fidye yazılımı faaliyetleri olarak gizlenen siber casusluk operasyonları, düşman ülkelere, eylemleri devlet destekli kuruluşlar yerine bağımsız siber suçlu aktörlere atfederek makul inkar iddiasında bulunma fırsatı sunuyor” dedi. “Ayrıca, siber casusluk faaliyetlerini siber suç operasyonları olarak yanlış değerlendirmek, özellikle hükümete veya kritik altyapı kuruluşlarına yönelik saldırılar bağlamında stratejik sonuçlara yol açabilir.”
SentineOne, önemli ölçüde, fidye yazılımının siber casusluk aktörlerine, veri hırsızlığı faaliyetlerine işaret edebilecek eserleri ve kanıtları yok ederek izlerini rahatlıkla gizlemeleri için bir yol sağladığını söyledi.
ChamelGang, fidye yazılımını bu şekilde kullanan ilk Çin bağlantılı siber casusluk oyuncusu değil. Diğer örnekler arasında APT41— birden fazla küçük alt gruptan oluşan bir şemsiye grup — ve Bronz Yıldız IşığıKurbanları arasında ABD ve diğer birçok ülkedeki kuruluşlar da var.
SentinelOne SentinelLabs’ta kıdemli tehdit araştırmacısı Aleksandar Milenkoski, “Mevcut ve tarihsel kanıtlar, siber casusluk kümelerinin fidye yazılımlarını öncelikle kesinti veya mali kazanç için kullandığını gösteriyor” diyor.
Milenkoski, ChamelGang vakasında, tehdit aktörünün genellikle gizliliğin artık operasyonel bir hedef olmadığı görevlerinin sonuna doğru fidye yazılımını kullanma eğiliminde olduğunu söylüyor. Fidye yazılımı, istihbaratla ilgili verileri sızdırmak ve suçu saptırmak için bir kılıf olarak kullanılabilir; dolayısıyla fidye yazılımı saldırısının kurbanları, bir saldırıya yanıt verirken bu hususu göz ardı etmemelidir, diyor: “Hedeflenen kuruluşun, farklı ülkelerden gelen düşmanlar açısından potansiyel değerine bağlı olarak İstihbarat perspektifinden bakıldığında, durum değerlendirilirken fidye yazılımı faaliyetlerinin bu boyutları dikkate alınmalıdır.”
Veri Casusluğu ve Hırsızlığı
ChamelGang, Positive Technologies ve Team5 gibi diğerlerinin daha önce veri hırsızlığı ve siber casusluğa odaklandığını tespit ettiği bir tehdit aktörü. Positive Technologies grubun Eylül 2021’deki faaliyetleri hakkında rapor verildi Bir enerji şirketinde, tehdit aktörünün kötü amaçlı yazılımlarını ve altyapısını yasal Microsoft, Google, IBM, TrendMicro ve McAfee hizmetleri gibi görünecek şekilde gizlediği bir ihlal soruşturmasının ardından.
Takım5Grubu Camo Fei olarak izleyen , tehdit aktörünün en az 2019’dan beri aktif olduğunu ve kampanyalarında Cobalt Strike, DoorMe, IISBeacon, MGDrive ve CatB fidye yazılımı aracı gibi çeşitli kötü amaçlı yazılım araçlarını kullandığını değerlendirdi. Team5’in araştırması, tehdit aktörünün öncelikle hükümet sektöründeki hedeflere ve daha az ölçüde sağlık, telekomünikasyon sektörü, enerji, su ve yüksek teknoloji sektörlerine odaklandığını gösterdi.
SentinelOne, ChamelGang’ın mevcut odağının Doğu Asya ve Hindistan alt kıtasına olan ilgisinin jeopolitik gerilimlerden, bölgesel rekabetlerden ve teknolojik ve ekonomik üstünlük yarışından kaynaklandığını değerlendirdi. Şirketin araştırmaları, grubun, saldırının ilk aşamalarında BeaconLoader ve Cobalt Strike gibi araçları kullandıktan sonra 2022’de Hindistan’ın AIIMS’sine ve Brezilya hükümetine yönelik saldırılarında CatB fidye yazılımını kullandığını gösterdi.
Milenkosi, tehdit aktörlerinin fidye toplamak için hem siber casusluk hem de finansal amaçlı faaliyetler yürütme konusundaki ilgisinin, bir kuruluşu hedef alırkenki hedeflerine bağlı olduğunu söylüyor. “Tarihsel olarak, tehdit aktörlerinin fidye toplamaya hiç ilgi göstermediği yaygın bir durum, fidye yazılımlarının yıkıcı amaçlarla kullanılmasıdır” diyor. “Ancak fidye ödemesindeki faizin başlı başına bir teminat teşkil edebileceğini not ediyoruz” diye ekliyor.