Çin siber güvenlik yetkilileri, ABD Ulusal Güvenlik Ajansı’nın (NSA) havacılık ve savunma araştırmalarında lider bir kurum olan Kuzeybatı Politeknik Üniversitesi’ni (NPU) çok yıllı siber casusluk kampanyasında ihlal ettiğini iddia etti.
18 Şubat 2025’te Çin Ulusal Bilgisayar Virüsü Acil Durum Müdahale Merkezi (CVERC) ve Siber Güvenlik Firması Qihoo 360 tarafından yayınlanan ortak raporlara göre, NSA’nın özel erişim operasyonları (TAO) birimi-Çinli analistler tarafından “APT-C-40” etiketli– 2020 ve 2022 yılları arasında NPU’nun ağlarına sızmak için 40’tan fazla ısmarlama kötü amaçlı yazılım suşunu kullandı.
Operasyonun hassas araştırma verilerini, ağ altyapısı planlarını ve operasyonel kimlik bilgilerini de açıkladığı bildirildi.
Inversecos siber güvenlik analistleri, bunun sıfır gün istismarları, tehlikeye atılan kenar cihazları ve tarayıcı-hiJacking çerçeveleri karışımı ile yapıldığını tespit etti.
İddia edilen saldırının teknik mimarisi
Saldırganların, RPC hizmetleriyle X86/SPARC sistemlerini hedefleyen otomatik bir sömürü aracı olan Shaver’ı kullanarak Çin’in komşu ülkelerindeki Solaris merkezli sunuculardan ödün vererek ilk erişim elde ettikleri iddia ediliyor.
Bu sunucular, NPU personeline karşı müteakip kimlik avı kampanyalarının kökenini maskeleyen vekil olarak hizmet etti.
Adli analiz, TAO operatörlerinin, NSA’nın Foxacid platformuna iç trafiği kesmek ve yönlendirmek için sınır yönlendiricileri ve güvenlik duvarlarına kurulu bir ağ gözetim aracı olan Seconddate’den yararlandığını ortaya koydu.
.webp)
Snowden dönemi açıklamalarına, parmak izi kurbanlarının cihazlarına bağlı bir tarayıcı sömürüsü çerçevesi olan Foxacid ve kullanıcılar Bilibili gibi platformlara eriştiğinde sıfır günlük yükler sundu.
Bu ortadaki adam (MITM) tekniği, her ikisi de anti-analiz özellikleri ile donatılmış Nopen (Linux/Solaris) ve Flame Spray (Windows) gibi arka fırınların sessiz bir şekilde konuşlandırılmasını sağladı.
Bir NSA operatörü bir Linux dizin yolunu açığa çıkararak bir NSA operatörü bir Perl komut dosyasını yanlış kullandığında meydana geldi:-
Quantifier follows nothing in regex; marked by <-- HERE in m/* <-- HERE .log/ at \
/etc/autoutils line 4569 .webp)
Bu hata, Tao'nun tescilli araç dizin yapısının kullanımını doğruladı. Kalıcı erişim, gizli bir Linux/freebsd arka kapı ve temizlik sonrası iletişim kanallarını yeniden kuran kurnaz Heretics aracılığıyla Stoacı cerrah tarafından sürdürüldü.
Veri açığa çıkması, çalınan dosyaları şifreleyen bir araç seti olan düşman çizgilerinin arkasındaki çalışmaya dayanıyordu (var/tmp/.2e434fd8aeae73e1/erf/out/f/) İsveç, Japonya ve Meksika da dahil olmak üzere 17 ülkede 54 proxy sunucusuna yönlendirmeden önce.
CVERC, saldırıyı zamansal kalıplarla TAO'ya bağladı - aktivitenin% 98'i ABD iş günlerinde (09:00 - 16:00 EST) federal tatillerde duraklamalarla - ve ABD İngiliz klavye girdileri gibi dilsel eserler.
Bağımsız doğrulama beklemede kalırken, açıklama sınır ötesi siber operasyonlardaki artan gerilimleri gösterir ve ağ kenar sistemlerinin devlet destekli sömürüye karşı savunmasızlığını vurgular.
IOC
Temel altyapı IOC'ler ikincidate yükünü içeriyordu:-
- MD5: 485A83B9175B50DF214519D875B2EC93
- Sha-256: D799ab9b616be179f24dbe8af6ff76ff9e56874f298dab9096854ea228fc0aeb
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response and Threat Hunting – Register Here