Kritik Altyapı Güvenliği
Kaspersky, APT31’in Endüstriyel Kuruluşları Casusluk Amaçlı Hedeflediğini Söyledi
Akşaya Asokan (asokan_akshaya) •
15 Ağustos 2023
Güvenlik firması Kaspersky, Çin devlet destekli bir bilgisayar korsanlığı grubunun bir casusluk kampanyasının parçası olarak Doğu Avrupa’daki kritik altyapıyı hedeflemek için muhtemelen bir düzineden fazla kötü amaçlı yazılım çeşidi dağıttığı konusunda uyarıyor.
Ayrıca bakınız: Forrester Wave™ IaaS Platform Yerel Güvenlik Raporu
Kaspersky araştırmacıları, grubun faaliyetlerini analiz eden bir raporda, grubun 2022’den beri Doğu Avrupa’daki endüstriyel kuruluşları hedef almak için kullandığı 15 kötü amaçlı yazılım çeşidini ortaya çıkardı.
Kaspersky, etkinliği orta ila yüksek bir güvenle, Violet Typhoon (eski adıyla Zirconium) olarak da bilinen APT31 ve Judgment Panda’ya bağladı. Grup, fikri mülkiyet hırsızlığında uzmanlaşmıştır. Mandiant’tan güvenlik araştırmacıları, Temmuz ayında yayınlanan bir raporda, APT31’in dünya çapındaki petrol ve gaz kuruluşları için bilgi çalmak üzere hava boşluklu ağları hedef aldığını tespit ettiklerini söyledi.
Kaspersky, incelediği 15 varyantın, 2021’de gruba bağlanan FourteenHi bilgi hırsızının güncellenmiş sürümleri olduğunu söyledi. Grup, “veri hırsızlığı için kalıcı bir kanal” oluşturmak amacıyla kötü amaçlı yazılım varyantlarını “çeşitli kombinasyonlarda” kullandı. hava boşluklu ağlardan, dedi Kaspersky.
Bu türler yalnızca kalıcılık yeteneklerinde farklılık gösteriyordu; diğer enfeksiyon taktikleri aynı kaldı. Araştırmacılar, bilgisayar korsanlarının varyantları, uzaktan erişim yetenekleri oluşturmak için kullanılan MeatBall adlı yeni bir kötü amaçlı yazılım arka kapısıyla birleştirdiğini söyledi.
Rapora göre bilgisayar korsanları, kötü amaçlı yazılımı çeşitli aşamalarda dağıtmak için Dropbox ve Yandex Disk gibi bulut hizmetlerinin yanı sıra sanal özel sunucuları kullandı.
İlk implant seti, keşif ve ilk veri toplama işlemini gerçekleştiren kötü amaçlı yazılım içeriyordu ve bilgisayar korsanları, dosyaları çalmak için ikinci aşama implantları kullandı. Bunu takiben, saldırganlar üçüncü implantları kötü amaçlı yazılım için komut ve kontrol olarak kullandılar.