Bazı kanıtlar, 2021 Hindistan odaklı bilgisayar korsanlığı kampanyasının ve Symantec tarafından tespit edilen yeni elektrik şebekesi ihlalinin, APT41 olarak bilinen Çin devleti destekli casuslardan oluşan geniş bir şemsiye grupla bağlantısı olan aynı bilgisayar korsanları ekibi tarafından gerçekleştirildiğini gösteriyor. Kötü Panda veya Baryum. Symantec, şebeke korsanlığı saldırısını takip ettiği bilgisayar korsanlarının, 2017 yılında bir APT41 alt grubu tarafından, ağ yazılım şirketi NetSarang ve çeşitli şirketler tarafından dağıtılan kodu bozan bir tedarik zinciri saldırısında makinelere bulaşmak için dağıtılan ShadowPad olarak bilinen bir kötü amaçlı yazılım parçasını kullandığını belirtiyor. o zamandan bu yana yaşanan olaylar. 2020 yılında, APT41 üyesi olduğu iddia edilen beş kişi hakkında dava açıldı ve Çin Devlet Güvenlik Bakanlığı adına Chengdu 404 olarak bilinen bir yüklenici için çalıştıkları belirlendi. Ancak daha geçen yıl ABD Gizli Servisi, APT41 içindeki bilgisayar korsanlarının ABD Kovid-19’unda milyonlar çaldığı konusunda uyardı. 19 yardım fonu, başka bir hükümeti hedef alan devlet destekli siber suçların nadir bir örneği.
Symantec, RedFly adını verdiği şebeke korsanlığı grubunu APT41’in herhangi bir alt grubuna bağlamasa da, siber güvenlik firması Mandiant’taki araştırmacılar, hem RedFly ihlalinin hem de yıllar önceki Hindistan şebeke korsanlığı kampanyasının komut olarak aynı etki alanını kullandığına dikkat çekiyor Kötü amaçlı yazılımlarına karşı -ve-kontrol sunucusu: Websencl.com. Mandiant’ta tehdit istihbaratına liderlik eden John Hultquist, bunun RedFly grubunun aslında her iki şebeke korsanlığı vakasıyla bağlantılı olabileceğini gösterdiğini söylüyor. (Symantec’in RedFly’ın hedeflediği Asya ülkesinin adını vermediği göz önüne alındığında Hultquist, bu ülkenin aslında yine Hindistan olabileceğini ekliyor.)
Daha geniş anlamda Hultquist, RedFly ihlalini Çin’in enerji şebekeleri gibi kritik altyapıları daha agresif bir şekilde hedeflemeye odakladığının rahatsız edici bir işareti olarak görüyor. Rusya ve İran gibi diğer ülkeler, taktik elektrik kesintilerini tetikleyebilecek kötü amaçlı yazılım yerleştirmeye yönelik açık girişimlerde bulunarak elektrik şebekelerini ihlal etmeye çalışırken, Çin yıllarca devlet destekli hackleme faaliyetlerini büyük ölçüde casusluk üzerine yoğunlaştırdı. Örneğin Rus askeri istihbarat grubu Sandworm, Ukrayna’da üç elektrik kesintisine neden olmaya çalıştı; bunlardan ikisi başarılı oldu. Berserk Bear olarak bilinen FSB istihbarat teşkilatına bağlı başka bir Rus grubu, benzer bir yetenek kazanmak için ABD elektrik şebekesini defalarca ihlal etti, ancak hiçbir zaman kesintiye neden olmaya çalışmadı.
Hultquist, Çin’deki bu en son şebeke ihlali göz önüne alındığında, bazı Çinli hacker ekiplerinin Berserk Bear grubuna benzer bir misyona sahip olabileceğinin artık ortaya çıkmaya başladığını savunuyor: erişimi sürdürmek, sabotaj için gerekli kötü amaçlı yazılımı yerleştirmek ve emrin iletilmesini beklemek. stratejik bir anda bu siber saldırının yükünü. Ve bu görev, Symantec’in isimsiz Asya ülkesinin şebekesinde yakaladığı bilgisayar korsanlarının neredeyse kesinlikle geri döneceği anlamına geliyor, diyor.
“Erişimi sürdürmeleri gerekiyor, bu da muhtemelen oraya geri dönecekleri anlamına geliyor. Yakalanıyorlar, yeniden düzenleniyorlar ve yeniden ortaya çıkıyorlar” diyor Hultquist. “Buradaki en önemli faktör, tetiği çekme zamanı gelene kadar hedefte kalabilme yetenekleridir.”