Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Vixen Panda Olarak da Bilinen Oynak Boğa, Yeni Turian Arka Kapı Varyantını Kullanıyor
Prajeet Nair (@prajeetspeaks) •
19 Ocak 2023
Siber güvenlik araştırmacıları, Temmuz ve Aralık 2022 arasında İran hükümet kuruluşlarını hedef almaktan Çinli bir gelişmiş kalıcı tehdit grubunun sorumlu olduğunu söylüyor.
Ayrıca bakınız: Siber Olgunluk: Önceliklendirmeye, Riski Ölçmeye Yeni Bakış
Palo Alto Networks’ün 42. Birimi, Oynak Boğa’nın en az 2010’dan beri aktif olduğunu söylüyor. Oynak Boğa, takımyıldız temalı adlandırma süreciyle ATP grubuna verilen bir lakaptır. Grup ayrıca BackdoorDiplomacy, Vixen Panda, APT15, KeChang ve Nickel isimlerini de kullanıyor.
Playful Taurus, siber casusluk amacıyla Kuzey ve Güney Amerika, Afrika ve Orta Doğu’daki hükümet ve diplomatik kuruluşları hedef almak için kimlik avı tekniklerini kullanmasıyla tanınır.
Grup kısa bir süre önce araç setini Turian arka kapısının yeni bir çeşidini ve komuta ve kontrol altyapısını içerecek şekilde güncelledi.
Araştırmacılar, kötü amaçlı altyapıya bağlantıları izlerken, bilgisayar korsanları tarafından kontrol edilen bir IP adresine bağlanmaya çalışan dört İranlı kuruluş gözlemlediler. 152.32.181.16 – Temmuz ile Aralık 2022’nin sonları arasında. İran hükümet kuruluşları arasında Dışişleri Bakanlığı ile Tarım ve Doğal Kaynaklar Mühendisliği Teşkilatı da vardı.
Araştırmacılar, “Playful Taurus tarafından kontrol edilen altyapıya yönelik bu bağlantıların sürekli günlük doğası, bu ağlarda olası bir uzlaşmaya işaret ediyor. Üstelik bu hedefler, grubun geçmişteki hedefleme kalıplarına da uyuyor” diyor.
En son Turian sürümü, ek karartma ve değiştirilmiş bir ağ protokolü ile güçlendirilmiştir.
Gözlemlenen en büyük farklardan biri, C2 şifre çözme algoritmasıdır. Araştırmacılar, daha eski örneklerde, “C2’lerin şifresi, 0xA9 gibi sabit kodlanmış bir bayta karşı bir XOR ile çözüldü” diyor. “Güncellenmiş arka kapı, iletişim kurmak için C2’yi güncellemekten komutları yürütmeye ve ters kabukları oluşturmaya kadar oldukça genel işlevsellik sunuyor. Bununla Turian’ın diğer türevlerine kıyasla temel farkları komut kimlikleridir. Önceki kimlikler 0x01’de başladı ve bir sırayı takip etti , yeni kimlikler rastgele görünüyor.”
Çinli grubun faaliyetleri, iki ülke arasında 2021’de imzalanan ve her iki ülke de farklı düzeylerde ABD yaptırımlarıyla karşı karşıya kalırken ekonomik, askeri ve güvenlik işbirliği sözü veren 25 yıllık bir işbirliği anlaşmasının zemininde ilerliyor.
mahkeme bozulması
Aralık 2021’de Virginia’daki bir ABD federal mahkemesi, teknoloji devi Microsoft’un o zamanlar Nickel olarak bilinen Çin merkezli bilgisayar korsanlığı grubunun faaliyetlerini bozmasının önünü açtı.
ABD’nin Virginia Doğu Bölgesi Bölge Mahkemesi, Microsoft’un bilgisayar korsanlığı grubu tarafından ABD ve diğer 28 ülkedeki devlet kurumlarından, düşünce kuruluşlarından ve insan hakları kuruluşlarından istihbarat toplamak için kullandığı web sitelerine el koyma talebini kabul etti.
Karar, şirketin Dijital Suçlar Birimi’nin Nickel’in kurbanlarına erişimini kesmesine ve web sitelerinin saldırı gerçekleştirmek için kullanılmasını engellemesine izin verdi (bkz:: Microsoft, Çin Siber Operasyonlarını Bozmak İçin Mahkeme Kararı Aldı).
2016’dan beri Nickel’i takip eden ve 2019’dan beri etkinliğini analiz eden Microsoft, saldırıların tek bir hedefe ulaşmak için çeşitli teknikler kullandığını söyledi: izinsiz girişi, gözetlemeyi ve veri hırsızlığını kolaylaştıran, tespit edilmesi zor kötü amaçlı yazılımları yerleştirmek.
Nickel daha önce Kuzey Amerika, Orta Amerika, Güney Amerika, Karayipler, Avrupa ve Afrika’daki diplomatik kuruluşlar ve dışişleri bakanlıkları dahil olmak üzere hem özel hem de kamu sektöründeki kuruluşları hedef aldı.