Çin Bağlantılı Casusluk Grupları Asya Telekomunu Hedef Alıyor


tarafından yayınlanan analizlere göre, en az üç siber casusluk grubu, Asya-Pasifik bölgesindeki birden fazla ülkedeki telekomünikasyon operatörlerinin güvenliğini tehlikeye attı, iletişim sağlayıcılarının ağlarına arka kapılar yerleştirdi, kimlik bilgilerini çaldı ve kontrolü ele geçirmek ve diğer sistemleri tehlikeye atmak için özel kötü amaçlı yazılımlar kullandı. Geçtiğimiz hafta iki siber güvenlik firması.

Teknoloji devi Broadcom’un Symantec siber güvenlik bölümü tarafından yayınlanan bir analize göre, Çin bağlantılı üç grubun (Fireant, Neeedleminer ve Firefly) araçları en az iki Asya ülkesindeki telekomünikasyon şirketlerini tehlikeye atmak için kullanıldı. Sırasıyla Mustang Panda, Nomad Panda ve Naikon olarak da bilinen gruplar, daha önce Asya-Pasifik bölgesindeki çeşitli ülkelere yönelik yaygın saldırılarla ilişkilendirilmişti.

Symantec’in tehdit avcısı ekibinin baş tehdit istihbaratı analisti Dick O’Brien, saldırganların telekomünikasyon şirketlerini diğer sistemleri tehlikeye atmak, iletişimleri gizlice dinlemek veya siber suçlar için güçlü bir fırlatma rampası olarak gördüğünü söylüyor.

O’Brien, “Kulak dinleme ve gözetleme potansiyeli var, ancak aynı zamanda telekomünikasyon kritik bir altyapı olduğundan, hedef ülkenizde önemli bir aksaklık yaratabilirsiniz” diyor. “Bu saldırıların nedeninin ABD hükümetinin defalarca uyardığı motivasyonla benzer olma ihtimalinin açık olduğunu düşünüyoruz.”

Nisan ayında üst düzey ABD’li yetkililer, Çin bağlantılı saldırganların kritik altyapıyı tehlikeye atmaya başladıkları konusunda uyarmıştı. edat gelecekteki çatışmalara yönelik saldırgan siber operasyonları. Japonya ve Filipinler üçlü ittifak kurdu bilgi paylaşımı Özellikle Çin’den gelen siber tehditler konusunda. İttifak, Japonya ile Güney Kore arasındaki bir başka üçlü bilgi paylaşımı anlaşmasına benziyor.

Saldırılar, diğer Asya ülkelerinin artan siber saldırılarla mücadele etmeye devam ettiği bir dönemde gerçekleşti. 24 Haziran’da Endonezya hükümeti, siber suçluların Ulusal Veri Merkezini tehlikeye attığını kabul etti ve 8 milyon dolarlık fidye talep etti. Hükümet ödeme yapmak yerine toparlanmaya çalışıyor, ancak Saldırı 200’den fazla kurumun hizmetlerini kesintiye uğrattı.

Tehdit istihbaratı şirketi Recorded Future’ın belirttiğine göre Tayvan şu anda Çin devleti destekli RedJuliett adlı bir grup tarafından 24 farklı devlet kurumuna, eğitim kurumuna ve teknoloji firmasına saldıran bir dizi saldırıyla karşı karşıya. 24 Haziran’da yayınlanan bir analiz.

Siber Saldırganlar Ulaşıp Çağrı Yapıyor

Telekomünikasyon şirketlerine odaklanılması şaşırtıcı değil: Siber güvenlik firması Check Point Software’in tehdit istihbaratı grup yöneticisi Sergey Shykevich, altyapı operatörlerinin İnternet’teki çoğu trafiğin merkezi olduğunu ve altyapılarından ödün verilmesini son derece değerli hale getirdiğini söylüyor.

“Telekom ağlarına erişimi olan bir saldırgan için en büyük ikramiye, SMS mesajlarına, konumlara ve diğer hassas bilgilere gerçek zamanlı erişim sağlayan telekomünikasyon istemcilerinin CRM veritabanıdır” diyor. “Telekomünikasyon şirketlerinin bozulması, ülkeler ve kullanıcılar için kesinlikle yıkıcı olabilir, tıpkı birkaç ay önce Ukrayna’da olduğu gibi. Ancak çoğu durumda telekomünikasyon şirketlerini hedef almanın temel amacının casusluk ve sahip oldukları değerli veriler olduğuna inanıyorum.”

Ekim 2023’te Check Point Research, İran bağlantılı bir casusluk kampanyasının ayrıntılarını yayınladı. öncelikle hedeflenen devlet kurumları ve telekomünikasyon sağlayıcıları.

Başka bir örnek: Pakistan, ülkenin ve jeopolitik ortamının hızlı bir şekilde dijitalleşmesi, onu yansımaya dayalı dağıtılmış hizmet reddi (DDoS) saldırılarının önemli bir farkla önde gelen hedefi haline getirdiğinden, iletişim tabanlı saldırıların odağı haline geldi. Singapur merkezli bir firma olan Nexusguard’ın yöneticisi Donny Chong, hizmet reddi saldırılarına karşı savunmaya odaklandığını söylüyor.

“Telekomünikasyonla ilgili risk, eğer telekomünikasyon altyapısını bozarsanız, diğer birçok kritik altyapıyı da bozmuş olursunuz” diyor. “Uygulama ve çoklu vektör saldırıları tarafından sıklıkla hedef alındığını gördüğümüz başka sektörler de var; özellikle teknoloji, finans, bankacılık ve sigorta sektörleri bu saldırılarla zor günler geçirdi.”

Çoklu Tehdit Grupları

İsimsiz Asyalı telekomünikasyon firmasına yapılan saldırı, tespit edilmekten kaçınmak için kodun bellekte çalıştırılması ve kötü amaçlı kod yüklemek için yasal yazılımların kullanılması (yan yükleme olarak bilinen bir teknik) olmak üzere üç özel saldırı aracını içeriyordu. (Symantec, hedeflenen firmaların veya saldırıları araştırdıkları iki ülkenin adını vermiyor.)

Symantec’ten O’Brien, tehdit grubunun veya grupların nispeten karmaşık olduğunu söylüyor.

“Yüklerin çoğunun bellekte çalışması, bunların tespit edilmesinin zor olabileceği anlamına geliyor” diyor. “Meşru yürütülebilir dosyaları kullanarak dışarıdan yükleme tekniği APT aktörleri tarafından tercih ediliyor, çünkü muhtemelen kullandıkları meşru dosyaların tehlike işaretlerine yol açma olasılığı daha düşük.”

analiz önerildi Tehdit grupları birbirleriyle işbirliği yapabilirken (örneğin, Çin hükümetinin farklı kolları birlikte çalışıyor olabilir), farklı grupların aynı araçları kullanması veya tek bir grubun üç aracı da kullanması gibi başka bağlantılar da mümkündür.

Aktörler arasındaki bağlantılar genellikle karmaşıktır. 2021’de bir casusluk saldırısı kampanyası — “Hayatta Kalmak” lakaplı – CurKeep olarak bilinen basit bir indiriciyi kullanarak telekomünikasyon endüstrisini ve Vietnam, Özbekistan ve Kazakistan hükümetlerini hedef aldı. Saldırganlar olarak bilinen bir grupla aynı altyapıyı kullandılar. ToddyCat Tehdit aktörünün oldukça gelişmiş olduğunu düşünen siber güvenlik firması Kaspersky tarafından.





Source link