Kritik Altyapı Güvenliği , Hizmet Olarak Siber Suçlar , Siber Savaş / Ulus Devlet Saldırıları
Pekin, Kurumsal Yazılım Sıfır Günlerini Arıyor
Akşaya Asokan (asokan_akshaya) •
28 Şubat 2023
Güvenlik açığı raporlarının hükümete zorunlu olarak ifşa edilmesini gerektiren bir Çin yasası, devlet bağlantılı bilgisayar korsanlığı için temettü ödüyor gibi görünüyor.
Ayrıca bakınız: Canlı Web Semineri | Çok Faktörlü Kimlik Doğrulamayı Hackleme: Bir BT Uzmanının 150 MFA Ürününü Test Ettikten Sonra Öğrendiği Dersler
Tehdit istihbarat firması Crowdstrike, Pekin ile bağlantısı olan Çinli bilgisayar korsanlarının 2022 yılında Kuzey Amerika hedeflerine saldırırken sıfır gün güvenlik açıklarını kullanımlarını artırdığını söylüyor.
CrowdStrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, Eylül 2021’de yürürlüğe giren ifşa gerekliliği, “Çin’deki güvenlik açığı araştırmalarını etkili bir şekilde kitle kaynaklı hale getiriyor” dedi.
Meyers, şirketin küresel tehdit ortamına ilişkin yıllık değerlendirmesini yayınlamasından önce Information Security Media Group’a “Bu programla Çin hükümeti yeteneklerini üst düzeye çıkarıyor” dedi.
Crowdstrike’ın değerlendirmesi, Kasım ayında devlet bilgisayar korsanları tarafından sıfırıncı gün istismarının daha fazla kullanıldığını tespit eden Microsoft da dahil olmak üzere diğer şirketlerin vardığı sonuçlarla örtüşüyor (bkz:: Çin, Güvenlik Açığı İfşa Yasası Yoluyla Muhtemelen 0-Gün Topluyor).
Çinli bilgisayar korsanları tarafından en yaygın olarak kullanılan güvenlik açıkları arasında, CVE-2022-27518 olarak izlenen Citrix Gateway’i etkileyen kusurlar; Microsoft Exchange Sunucusu, izlenen CVE-2022-41040; ve Log4Shell. Ana hedefler Amerikan savunma ve telekomünikasyon sektörleri, sivil toplum ve ilaç endüstrileriydi.
Şirket ayrıca, WSO2 ürünlerinde bilgisayar korsanlarının bulut bilgi işlem altyapısına erişmesine izin veren bir kusur olan CVE-2022-29464’ün “Çin-nexus etkinliğiyle tutarlı” istismarının altını çiziyor.
Raporda, “Rakiplerin bulut altyapısına geçmek için geleneksel uç noktalardan giderek daha fazla emin olduklarına dair artan kanıtlar var. Bunun tersi de geçerli: Bulut altyapısı, geleneksel uç noktalara açılan bir ağ geçidi olarak kullanılıyor” diyor.
Yazılım şirketlerinin henüz bir yama geliştirmediği veya yakın zamanda kullanıma sunduğu açıklardan yararlanmaya geçiş, ilk erişimi elde etmek için hedefli kimlik avı veya kimlik bilgisi hırsızlığı gibi bu gruplarla ilişkili daha önce gözlemlenen tekniklerden bir kaymaya işaret ediyor.
Crowdstrike raporunda yer alan Kuzey Amerika siber savunucuları için herhangi bir konsolidasyon varsa, o da Çin devleti bağlantılı bilgisayar korsanlarının birincil hedeflerinin, başta hükümet, teknoloji ve telekomünikasyon sektörleri olmak üzere Asya’daki kuruluşlar olduğudur.
Raporda, “Bu bölgelere izinsiz girişler, CrowdStrike Intelligence’ın 2022’de onayladığı Çin-nexus hedefli izinsiz giriş faaliyetinin kabaca üçte ikisini oluşturuyor.” Bu bulgu, Asya-Pasifik bölgesinin 2022’de izlediği tüm olayların yaklaşık üçte birini oluşturduğunu bulan IBM dahil olmak üzere diğer tehdit istihbaratıyla da uyumludur (bkz:: Asya-Pasifik, 2022’de En Yüksek Siber Saldırı Payıyla Karşı Karşıya Oldu).
Crowdstrike, Tayvan’ın Çin devleti tarafından yönlendirilen büyük miktarda bilgisayar korsanlığını emdiğini söylüyor. Bu gelişme, muhtemelen ekonomik casusluktan kaynaklanıyor. Çin Halk Cumhuriyeti’nin ada ulusu üzerindeki agresif egemenlik iddiaları göz önüne alındığında, operasyonlar yine de Pekin’in Tayvan ile “birleşme” arzusunu destekleyebilir.
Yine de Çin devlet bilgisayar korsanlığının hızı, ABD Meclis Başkanı Nancy Pelosi’nin Taipei ile dayanışma beyan ettiği Tayvan ziyaretinden önce veya sonra artmadı.
Crowdstrike, Tayvan hükümet sitelerinde Pelosi’nin ziyaretinden önce dağıtılmış hizmet reddi saldırılarına maruz kaldığını, ancak bu etkinliğin devlet tarafından yönlendirilmek yerine “Çin bağlantılı milliyetçi bilgisayar korsanlığı faaliyeti” olduğunu söylüyor.