Kritik Altyapı Güvenliği, Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Symantec, Asya Güç Şebekesine Yapılan ShadowPad Truva Atı Saldırısında APT41 Parmak İzini Buldu
Jayant Chakravarti (@JayJay_Tech) •
13 Eylül 2023
Symantec’teki siber güvenlik araştırmacıları, Çin hükümetiyle olası bağları olan bilgisayar korsanlarının, bu yılın başlarında bir Asya ülkesinin ulusal elektrik şebekesini hedeflemek için ShadowPad Truva Atı’nı kullandığını söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Symantec, yalnızca kritik ulusal altyapıyı hedeflemeye odaklanan Çin bağlantılı Redfly APT grubunun, altı aya kadar isimsiz elektrik şebekesi ağında varlığını sürdürdüğünü, kimlik bilgilerini çaldığını ve birden fazla bilgisayarın güvenliğini tehlikeye attığını söyledi.
Redfly’ın bu kampanyadaki araç ve altyapı seçimi, Çinli casusluk grubu APT41’in son yıllarda yürüttüğü benzer kampanyalarla örtüşüyordu. Barium, Earth Baku ve Winnti olarak da takip edilen APT41, geçtiğimiz günlerde Hindistan ve Çin’in sınır anlaşmazlıklarına girmesinden kısa bir süre sonra Hindistan’ın elektrik şebekesini işletmekten sorumlu dört bölgesel sevk merkezini hedef aldı.
2021’de APT41, USAHerds uygulamasındaki sıfır gün güvenlik açığından yararlanarak en az altı ABD eyalet hükümeti ağını tehlikeye attı.
Symantec’in Tehdit Avcısı Ekibi, Redfly’ın son kampanyasında hedeflenen ağda kalıcılık sağlamak için ShadowPad Truva Atı’nın benzersiz bir versiyonunu kullandığını söyledi. Bu varyant, komut ve kontrol için bir web alanı kullanıyordu ve kendisini diske kopyalarken VMware dosyaları ve dizinleri gibi görünüyordu.
ShadowPad Truva Atı, son yıllarda yalnızca Çinli casusluk grupları tarafından yabancı ülkelerdeki çıkarları olan kuruluşları hedeflemek için kullanıldı. SecureWorks, kötü amaçlı yazılım Truva atının operatörlerinin Çin Devlet Güvenlik Bakanlığı ve Halk Kurtuluş Ordusu ile ilişkili olduğuna inandığını söyledi.
Redfly grubu, son kampanyasında, grubun rastgele dosya veya komutlar sunmasına ve yürütmesine olanak tanıyan kabuk kodunu yüklemek ve yürütmek için Packerloader adlı bir araç da kullandı. Grup ayrıca ShadowPad’i bir keylogger yüklemek için de kullandı ve bunu virüslü sistemlerin içine çeşitli dosya adları altında sakladı. winlogon.exe Ve hphelper.exe.
Symantec, “Ulusal bir şebekede uzun vadeli, kalıcı bir varlığı sürdürme yeteneğinin, siyasi gerilimin arttığı zamanlarda ulus devletlerdeki güç kaynaklarını ve diğer hayati hizmetleri kesintiye uğratmak için tasarlanmış saldırılara yönelik açık bir risk oluşturduğunu” söyledi.
Redfly grubu yalnızca kimlik bilgilerini çalmaya, virüslü ağa bağlı bilgisayarlara erişim sağlamaya ve keylogging’e odaklandı. Symantec, grubun operasyonları aksatmamayı seçtiğini ancak gelecekte bunu yapmayı seçebileceğini söyledi.